저는 회사 이미지 호스트를 사용하여 다양한 특수 목적 시스템을 관리하는 네트워크의 관리자 역할을 맡았습니다.
이러한 호스트는 인터넷이나 인트라넷 액세스가 전혀 없이 직렬 또는 이더넷(교차 버전)을 통해 관리 중인 장비에 직접 연결됩니다.
이러한 호스트 중 일부는 ~2년 동안 네트워크에 연결되지 않았습니다. 이는 표준 이미지이기 때문에 ~2년 동안 Windows 업데이트 또는 바이러스 백신 업데이트가 발생하지 않았습니다.
제가 걱정하는 취약점은 특수 목적 기계의 운영자가 개인적인 이유(음악 등)뿐만 아니라 정당한 이유 때문에 USB 썸 드라이브를 에어 갭이 있는 호스트에 연결한다는 것입니다.
다음 옵션 중 하나로 이 문제를 해결하고 싶습니다.
1- 이러한 호스트를 기업 LAN에 연결하여 정기적으로(한 달에 한 번) 바이러스 백신, Windows를 업데이트하고 에어 갭으로 돌아갑니다.
2- Windows 업데이트, 바이러스 백신 업데이트를 통해서만 허용하는 특수 서브넷을 만듭니다.
제가 고려하고 있는 또 다른 사항은 불필요한 앱(MS Offic 등)이 없는 호스트에 대한 사용자 정의 이미지를 구축하는 것입니다.
옵션 1은 번거롭고 쉽게 잊혀지지만, 옵션 2는 IT 거버넌스를 거쳐야 하며 이를 통과하는 데 시간이 걸립니다.
이 상황에 대한 귀하의 조언을 듣고 싶습니다.
답변1
사람들이 이러한 PC에서 자신의 USB 드라이브를 사용하고 있다면 확실히 문제가 됩니다.
WSUS 서버 및 패치 배포를 위해 제공하는 바이러스 백신 소프트웨어와 함께 격리된 LAN에 설치하겠습니다. 새 서버는 인터넷에 대한 두 번째 연결을 갖거나 격리된 상태를 유지하고 정기적으로 업데이트를 수동으로 전송하여 나머지 서버에 배포하도록 할 수 있습니다.
답변2
옵션 1은 번거롭고 쉽게 잊혀지지만, 옵션 2는 IT 거버넌스를 거쳐야 하며 이를 통과하는 데 시간이 걸립니다.
옵션 1: IT 관리에는 노력이 필요합니다. 옵션 1을 선택한다면 이를 기억하도록 노력하는 것은 귀하의 책임입니다. 이를 위해 캘린더 알림이나 반복 작업을 만드세요.
옵션 2: 무엇을 하든지 IT 직원/관리자의 승인을 받고 동의해야 합니다.
Michael이 자신의 의견에서 지적했듯이 오프라인 WSUS 솔루션을 사용할 수 있습니다. 또한 AV 업데이트를 오프라인으로 다운로드하여 이러한 컴퓨터에 적용할 수 있어야 합니다.