Först och främst, låt mig ta den stora gorillan i rummet:
De flesta av våra WFH-anställda använder BYOD. Jag är inte särskilt entusiastisk över det, vissa av ägarskapet är inte heller det, men det är där vi är just nu och det verkar inte förändras inom den närmaste framtiden. Men det är fortfarande den riktning jag kommer att lobba för när jag får chansen.
Anställda VPN:ar för närvarande via FortiClient med MFA och RDP in i antingen deras arbetsplatsdator eller en RDS-server. INGET arbete görs på deras lokala, BYOD-maskin - inget CRM, inget e-post, inget alls. Allt sker på kontors-PC/nätverk via den RDP-sessionen. Kopiera/klistra-in, printer omdirigering etc. är inaktiverat med GPO.
Det sagt, en av de förslag som vi fått är att kräva att alla VPN-anslutningar till vårt nätverk ska vara full tunnel-anslutningar. Vi skulle i sin tur blockera all trafik till deras lokala enhet förutom den trafik som krävs för VPN-anslutningen. För vissa användare skulle vi behöva skapa hål i tunneln för saker som Zoom osv. som de inte kan göra via RDP-sessionen, så vi måste finjustera det hela.
Jag förstår att det skulle vara mer “säkert” i den meningen att vi kan se och styra vilken trafik som skickas till och från slutpunkten över vårt nätverk. Men jag är inte *helt* säker på att ansträngningen är värd belöningen?
Min instinkt är att jag inte kan se vad det skulle tillföra för dig annat än huvudvärk för slutanvändaren och inte mycket i tilläggsskydd. Ditt tjänsteutbud är inte skrivbordsberoende och du har redan kontroller på plats för datautsläpp.
Du kanske hellre använder något som Zscalar där du kan proxytrafiken till en tjänst som du kan applicera regler på om du vill ha bättre insyn i vilka sidor användare besöker medan de arbetar, men du behöver inte ta med allting tillbaka till ditt eget nätverk. Du kan också konfigurera klienten för att utesluta trafik du inte bryr dig om.
Jag skulle avråda från att försöka implementera full tunnel på en anställds ägda enhet. Ansvarsfrågan om ditt nätverk är involverat i ett av deras personliga konton som hackas skulle göra att jag tänker efter extra. Split tunnel och endast betjäna dina egna resurser över tunneln verkar som det mest vettiga för mig.
Eftersom du använder Fortigate, vad sägs om att använda web-läget med Fortigate som i princip agerar som RDP-mäklare? Då finns inget att installera och inget tunnel att hantera.
Vill du starta ett uppror? Full tunnel och blockera all trafik på den egna enheten som inte ägs av företaget är definitivt ett steg för långt. Du kommer sannolikt att få dina anställda att säga upp sig i massor om du gör det. Ärligt talat, att kräva att personalen använder sin egen enhet är illa nog, men att lägga till den nivån av skit på en enhet de betalat för är definitivt ett kaos du inte vill ha. Har du övervägt att skapa en riktig VDI-miljö istället? Det är i princip det du försöker göra med detta ändå.
Jag skulle ge dem en molnbaserad/värd VM, låta dem arbeta på den istället för RDP till skrivbordet och sedan stänga VPN på BYOD. Skrivbord i kontoret skulle också kunna ansluta till VM.
Du borde göra något som virtualiserade appar för RDP istället för Full Tunnel VPN och stänga av deras internetåtkomst.
RDS, Citrix, Parallels, AWS appstream, Apache Guacamole, Kasm Workspaces skulle vara perfekt för detta BYOD-scenario.
Alla dessa lösningar stöder html5, så de kan använda RDP direkt från en webbläsare utan att behöva installera något. Integrera det med SAML + MFA och du får en mycket säkrare och bättre användarupplevelse än vad du föreslår.
borde inte trafiken vara i allmänhet samma mängd eftersom den enda trafiken som borde komma igenom är RDP-trafiken - samma som nu? Kanske missar jag något?
Ja, det finns en fin linje mellan att det är säkert och att det inte är något att oroa sig för eftersom det inte finns någon som arbetar för dig. Jag skulle byta om jag arbetade hemifrån från min egen maskin och inte kunde lyssna på musik från min egen jäkla dator medan jag arbetar. Dela bara tunneln och se till att alla enheter som RDP:as till har all nödvändig antivirus och EDR.
Eftersom du tar bort internettrafik på deras enheter när du ansluter till VPN, skulle det vara samma mängd trafik Split Tunnel vs Full Tunnel, förutom de hål du gör för Zoom etc. De hålen skulle flyttas till din VPN så se till att du har tillräck bandbredd för att flytta det också.
Fokusera kanske på företagsägda och hanterade datorer för dina anställda. Ingen VPN-skämt kommer att slå ordentligt endpoint-skydd.
Alla trafik från klienten går genom tunneln. Dessa är privata enheter, där folk har andra applikationer.
Måste ha en tillräckligt stor pipe för de samtidiga Call Of Duty-uppdateringarna via Steam!
Full tunnel VPN innebär att all trafik, inklusive internettjänster, går genom tunneln. Så om de tittar på YouTube, Netflix eller laddar ner en stor fil från en slumpmässig sida, går det genom din internetledning.