他の人が請負業者/非従業員の VPN アクセスをどのように扱っているかを知りたいと思っています。
- アカウントをプロビジョニング/非アクティブ化するにはどうすればよいですか?
- それらは AD 内にありますか、それとも別のアカウント サイロ内にありますか?
- 雇用された仕事にのみアクセスできるように制限するにはどうすればよいでしょうか?
- パスワードをどのように管理していますか?
- パスワードの変更を強制されますか?
- パスワードはどのように提供されるのでしょうか?
- コンピュータに対して何らかのネットワーク アクセス制御やセキュリティ スキャンを使用していますか?
答え1
特別な状況でそれよりも長いアクセスが必要な場合を除き、ログオン時間を指定したコンサルタント OU にアカウントを作成します。
他のユーザーと同様に、最初のログイン時にパスワードが変更されます。
コンサルタントのラップトップは、インターネットへのアクセスのみが制限され、イントラネットへのアクセスは許可されない VLAN に配置されています。LAN 上のあらゆるものにアクセスするには、当社の SSL VPN を使用し、参加しているプロジェクトで使用されるサーバーにのみ接続できるように制限されています。
通常、コンサルタントは弊社が提供するラップトップを使用しますが、そうでない場合は、弊社が必要とする AV ソフトウェアを入手する必要があります。そうしないと、VPN 接続が失敗します。
答え2
作業が許可されている特定のサーバーのみを含む pcf ファイルがいくつかあります。AD には通常無効になっているアカウントがあり、使用する必要がある場合はアカウントをアクティブ化しますが、使用が終了したと思われるときに期限切れになるように設定します。
アカウントは有効なソースからの電子メールを介してのみアクティブ化され、すべてのリクエストとアクションはヘルプデスクで行われます。私たちにとっては非常にうまく機能しています。
答え3
私は 2 要素認証を使用します。1 つは、ユーザー名とパスワードに加えて、ユーザーが所有する必要がある物理デバイスです。
Eトークン/SafeWordデバイスアラジン物理的なデバイス部分には非常に適しており、紛失したり請負業者が返却しなかったりした場合でも比較的安価です。
バックエンドでは、ファイアウォールで作業を行う場合は、RADIUS サーバーまたは TACACS サーバーを使用します。
答え4
外部機器を持つ請負業者は、内部リソースにアクセスするには SSL-VPN を使用する必要があります。オフィスでは、外部機器の使用は許可されていません。ただし、ラボ エリアでは、外部機器をネットワークに接続して一定時間インターネットにアクセスできますが、内部ネットワークへのアクセスは許可されていません。
当社からラップトップが支給された場合、アカウントが定期的に期限切れとなり、権限のあるマネージャーによる再承認が必要となる点を除き、他の従業員と同じ規則が適用されます。