Microsoft Groove ワークスペースを実装するように指示されました。通常、これは問題にはなりませんが、ワークスペースは、内部/制限付きネットワーク内に存在するマシンだけでなく、外部/不明なネットワークのピアからも利用されます。
このような実装のベストプラクティスは存在するのでしょうか?... それとも、これにより制限されたネットワークが広範囲に公開される可能性はありますか?
答え1
Groove は、一部のクライアントがファイアウォールの背後にある可能性があるという考え方に基づいて設計されているようで、通常のデータ チャネル TCP 2492 を迂回して Web ポート (TCP 80 または 443) を使用する機能があります。セキュリティで保護されたネットワークでこれらのポートの送信が許可されている場合 (許可されていない場合でも)、クライアントはセッションを開始できる可能性があります。許可されていない場合は、MS の Groove Relay サーバー製品を使用すると、内部ネットワークの制限が厳しい場合に通信を容易にできる可能性があります。
最も役立つドキュメントはおそらくここにあります: http://technet.microsoft.com/en-us/library/cc261778.aspx
そうは言っても、セキュリティの高いネットワークとセキュリティの低いネットワークのクライアント間で Groove アクセスを許可すると、セキュリティの高いネットワークがさらにリスクにさらされることになります。私はあなたのビジネスを知らないので、いくつかの新しいリスクについて推測することしかできません。
- 悪意のあるソフトウェアがセキュリティの低い Groove クライアントからセキュリティの高いクライアントに転送される可能性が高くなります。
- 機密データが誤ってまたは意図的に低セキュリティゾーンに転送される可能性が増加
- ファイアウォールアクセスを開いたときに脆弱なポートを誤って公開する