Блокировать доступ сотрудников к общедоступному облаку

Прежде всего, позвольте мне заявить, что это не моя идея, и я не хочу обсуждать, является ли такое действие разумным.

Однако для компании есть ли способ запретить сотрудникам доступ к публичным облачным сервисам? В частности, они не должны иметь возможность загружать файлы в любое место в Интернете.

Блокировка HTTPS может быть первым, простым, но очень радикальным решением. Использование черного списка IP-адресов также будет недостаточно. Вероятно, для фильтрации трафика на уровне контента требуется какое-то программное обеспечение. Прокси может быть полезен, чтобы иметь возможность фильтровать трафик HTTPS.

Тезисы мои мысли до сих пор. Что вы думаете? Любые идеи?

У вас здесь есть три варианта.

1. Отключите ваш офис / пользователей от интернета

• Если они не могут попасть в «публичное облако», они ничего не могут загрузить в него.
  
  

2. Составьте черный список определенных услуг, которые вы беспокоитесь о доступе пользователей.

• Это будет абсолютно массово, если оно должно быть даже отдаленно эффективным.
  • Технически подкованные пользователи всегда смогут найти способ обойти это - я могу подключиться к своему компьютеру из любой точки мира с подключением к Интернету, так что ... удача блокирует меня, например.
    
    

3. Делать что-то более разумное / признать пределы технологии.

• Это не ваша идея, но, как правило, если вы предоставите руководству ловушки и затраты на внедрение подобного решения, они будут более открыты для лучших подходов.

  • Иногда это соответствует нормативным требованиям или «просто для внешности», и они счастливы, просто блокируя самые популярные сервисы.
  • Иногда они искренне не понимают, насколько безумна их просьба, и им нужно, чтобы вы рассказали им те слова, которые они могут понять.
    • Когда-то у меня был клиент, когда я работал на поставщика компьютерной безопасности, который хотел, чтобы мы предоставили способ предотвратить утечку конфиденциальной информации сотрудникам нашего AV-агента. Я вынул свой смартфон, сфотографировал мой экран и спросил его, как он мог бы предотвратить это, или даже записать информацию на листе бумаги.
    • Используйте новости и недавние события в своем объяснении - если армия не смогла остановить Мэннинга, а АНБ не смогло остановить Сноудена, что заставляет вас думать, что мы можем это сделать, и сколько, по вашему мнению, денег будет стоить даже попытка?

Конечно, невозможно полностью его заблокировать, если только корпоративная сеть не будет отключена от Интернета.

Если вы действительно хотите что-то, что должно работать большую часть времени при большей прозрачности, вам нужно глубоко анализировать пакеты . Настройте посредника SSL / TLS «человек посередине», а также один для незашифрованного соединения и заблокируйте весь трафик, который не проходит через один из них.

• Блокировка запросов HTTP PUT
• Блокируйте все запросы HTTP POST, если тип содержимого не является application / x-www-form-urlencoded или multipart / form-data
• Для запросов HTTP POST типа multipart / form-data удалите поля с расположением содержимого файла (но пропустите остальные поля).
• Блокировать FTP, BitTorrent и SMTP трафик
• Блокируйте весь трафик к основным службам веб-почты и основным публичным хранилищам файлов.

Как видите, это масштабное и болезненное мероприятие. Это также далеко не неуязвимо : я думаю о нескольких обходных путях, даже когда я пишу это, некоторые из которых не могут быть обработаны без существенного разрыва веб-соединений ваших пользователей, и, вероятно, будут комментарии, показывающие гораздо больше, чем я не делал думать о. Но он должен пропустить большую часть трафика, отфильтровывая самые простые способы устранения загрузки файлов.

Суть в том, что это больше проблем, чем оно того стоит.

Лучшим ответом было бы вступить в своего рода переговоры с вашими руководителями: выяснить, чего они действительно хотят (вероятно, либо защиту коммерческой тайны, либо предотвращение ответственности), и указать, почему эти неосуществимые технологические меры не принесут им того, чего они хотят. Тогда вы сможете выработать решения своих проблем, которые не предполагают неосуществимых технологических мероприятий.

Не беспокойтесь об идеологии в этих дискуссиях: все, что вам нужно сделать, это сосредоточиться на том, что будет работать, а что нет . Там вы найдете все необходимые аргументы, и, хотя это, без сомнения, расстроит вас и ваших боссов, это позволит избежать вынесения ценностных суждений против них (что может быть заслужено, но только приведет к срыву переговоров, и это плохо ).

Что сказал HopelessN00b. Я просто хотел добавить это:

У меня есть подруга, которая работает в государственном учреждении, и ей не разрешают приносить в офис мобильный телефон с камерой. Она обычно формулирует это так: «Мне не разрешено иметь мобильный телефон с камерой», потому что, хорошо. Если она не может взять свою камеру с собой, зачем ей иметь? У нее проблемы с поиском мобильных телефонов без камер.

Я работал в других местах с высоким уровнем безопасности, которые могли бы «решить» эту проблему с помощью административного фашизма :

• Официальная политика, согласно которой доступ к вашей личной электронной почте с вашей рабочей станции является увольнением.
• Официальная политика, согласно которой доступ к облачному сервису с вашей рабочей станции является увольнением.
• Официальная политика, согласно которой подключение флэш-накопителя, iPod или сотового телефона к рабочей станции является преступлением об увольнении.
• Официальная политика, предусматривающая доступ к социальным сетям с вашей рабочей станции, является увольнением.
• Официальная политика, согласно которой установка несанкционированного программного обеспечения на вашу рабочую станцию ​​является увольнением.
• Официальная политика, согласно которой доступ к вашему личному онлайн-банкингу с вашей рабочей станции является увольнением.
• Эпический корпоративный брандмауэр / прокси, который заблокировал многие / большинство этих сайтов. Например, любая попытка доступа к facebook.com приводит к появлению экрана «Этот сайт заблокирован ETRM». Иногда они блокировали такие вещи, как Stack Overflow, как «хакерство».
• Некоторые «оскорбления» заслуживают отправки по электронной почте всей вашей команде, в котором говорится, что вы зашли на несанкционированный сайт (в отличие от увольнения ... на этот раз). («Кэтрин Вилльярд получила доступ к http://icanhas.cheezburger.com/ в 15:21 !»)
• Принуждение всех новых сотрудников проходить курс «политика безопасности» с разъяснением этих правил и принуждение людей регулярно проходить курсы повышения квалификации по этим правилам. А затем пройти и пройти тест на них.

По моему опыту, места, которые полагаются на административный фашизм, обычно делают лишь краткие попытки подкрепить эти правила техническими средствами. Например, они говорят, что уволят вас, если вы подключите флэш-накопитель, но они не отключат USB. Они блокируют Facebook через http, но не через https. И, как указал HopelessN00b, опытные пользователи знают и высмеивают это.

На самом деле, существует простое решение, если вы не ожидаете, что ваша внутренняя сеть будет одновременно подключена к Интернету.

Ваши компьютеры просто должны быть полностью заблокированы от доступа в Интернет. Все порты USB заблокированы и т. Д.

Чтобы подключиться к Интернету, людям необходимо либо использовать другой компьютер, подключенный к другой сети, либо подключиться через RDP к терминальному серверу, имеющему доступ в Интернет. Вы отключаете буфер обмена через RDP и не используете общий доступ к Windows. Таким образом, пользователи не могут копировать файлы на серверы интернет-терминалов и, следовательно, не могут отправлять файлы.

Это оставляет электронную почту ... это ваша самая большая лазейка в этом, если вы разрешаете электронную почту на внутренних компьютерах.

Вы знаете старую шутку о том, что если вас и халфлинга преследует злой дракон, вам не нужно бегать быстрее дракона, вам нужно только быстрее халфлинга? Предполагая, что пользователи не являются злонамеренными *, вам не нужно ограничивать их доступ к общедоступному облаку, достаточно сделать юзабилити публичного облака ниже, чем юзабилити любого корпоративного решения, которое у вас есть для доступа к данным без привязки к рабочему столу. , При правильном применении это резко снизит риск несанкционированных утечек и выполнимо за небольшую часть затрат.

В большинстве случаев достаточно простого черного списка. Положите на него диск Google, Dropbox и облако Apple. Также блокируйте трафик на Amazon AWS - большинство из этих горячих стартапов, которые создают еще один облачный сервис, не создают свой собственный центр обработки данных. Вы только что сократили количество сотрудников, которые знают, как попасть в публичное облако, с 90% до 15% (очень грубые цифры, будут отличаться в зависимости от отрасли). Используйте подходящее сообщение об ошибке, чтобы объяснить, почему публичные облака запрещены, что уменьшит их впечатление о бессмысленной цензуре (к сожалению, всегда будут пользователи, не желающие понять).

Оставшиеся 15% все еще могут связаться с провайдерами, которых нет в черном списке, но они, вероятно, не потрудятся сделать это. Google drive и co подвержены сильным положительным сетевым эффектам (экономический, а не технический). Все используют 2-3 одинаковых сервиса, поэтому они встроены везде. Пользователи создают удобные, оптимизированные рабочие процессы, которые включают эти услуги. Если альтернативный облачный провайдер не может быть интегрирован в такой рабочий процесс, у пользователей нет стимула использовать его. И я надеюсь, что у вас есть корпоративное решение для самого простого использования облака, такого как хранение файлов в центральном месте, доступном из физического места за пределами кампуса (с VPN, если требуется безопасность).

Добавьте к этому решению много измерений и аналитики. (Это всегда необходимо, когда речь идет о пользователях). Взять образцы трафика, особенно если обнаружены подозрительные шаблоны (восходящий трафик пакетами достаточно большой, чтобы можно было загружать документы, направленные в один и тот же домен). Посмотрите на выявленные подозрительные домены человеком, и если вы обнаружите, что это облачный провайдер, выясните, почемупользователи используют его, говорят с руководством о предоставлении альтернативы с равным удобством использования, обучают обидчика об альтернативе. Было бы замечательно, если бы ваша корпоративная культура позволяла вам аккуратно переучивать пойманных пользователей без применения дисциплинарных мер с первого раза - тогда они не будут пытаться скрываться от вас особенно усердно, и вы сможете легко улавливать отклонения и справляться с ситуацией. таким образом, который снижает риск безопасности, но все же позволяет пользователю эффективно выполнять свою работу.

Разумный менеджер ** поймет, что этот черный список приведет к снижению производительности. У пользователей была причина использовать общедоступное облако - они заинтересованы в продуктивности, а удобный рабочий процесс повысил их производительность (включая количество неоплачиваемых сверхурочных, которые они готовы сделать). Работа менеджера состоит в том, чтобы оценить компромисс между потерей производительности и рисками безопасности и сказать вам, готовы ли они оставить ситуацию как есть, внедрить черный список или принять меры, достойные секретной службы (которые крайне неудобно и все еще не обеспечивает 100% -ную безопасность).

[*] Я знаю, что люди, чья работа заключается в обеспечении безопасности, в первую очередь думают о преступных намерениях. И действительно, решительного преступника гораздо труднее остановить и он может нанести гораздо больший ущерб, чем не злонамеренный пользователь. Но на самом деле, есть несколько организаций, которые проникли. Большинство проблем с безопасностью связаны с глупостью пользователей из лучших побуждений, которые не осознают последствия своих действий. И поскольку их так много, к угрозе, которую они представляют, следует относиться так же серьезно, как и к более опасному, но гораздо более редкому шпиону.

[**] Я знаю, что, если ваши начальники уже сделали это требование, есть вероятность, что они не являются разумным типом. Если они разумны, но просто ошибочны, это здорово. Если они неразумны и упрямы, это неудачно, но вы должны найти способ договориться с ними. Предложение такого частичного решения, даже если вы не можете заставить их принять его, может быть хорошим стратегическим шагом - при правильном представлении оно показывает им, что вы «на их стороне», серьезно относитесь к их проблемам и готовы искать для альтернатив технически невыполнимых требований.

Ваше руководство просит вас закрыть ящик Пандоры.

Хотя в принципе вы можете предотвратить загрузку любой документации для всех известных возможных механизмов, вы не сможете предотвратить использование эксплойтов нулевого дня (или эквивалентного вам).

Тем не менее, аутентифицирующий межсетевой экран для идентификации как пользователя, так и рабочей станции может быть реализован для ограничения доступа с помощью ACL по вашему желанию. Вы можете включить службу репутации, как описано в некоторых других ответах, чтобы помочь вам управлять процессом.

Реальный вопрос заключается в том, чтобы спросить, касается ли это безопасности или контроля ? Если это первое, то вам необходимо понять порог затрат, который готовы заплатить ваши менеджеры. Если это второй, то, вероятно, достаточно большого видимого кинотеатра будет достаточно, чтобы убедить их, что вы доставили, за небольшими исключениями.

Вам необходимо устройство или служба фильтрации контента, такие как BlueCoat Secure Web Gateway, или брандмауэр с фильтрацией контента, такой как брандмауэр Пало-Альто. Такие продукты имеют фильтры широкой категории, которые включают онлайн-хранилище.

BlueCoat даже предлагает облачную службу, где вы можете заставить пользователей вашего ноутбука подключаться через прокси-службу, которая работает локально на их компьютере, но принимает правила фильтрации контента из центрального источника.

• Черный список

Создайте список сайтов, к которым пользователи не могут получить доступ.

Pro: заблокировать конкретный сервис.

Минусы: большой список, иногда это может повредить производительности брандмауэра системы (обычно это так!). Иногда это можно обойти.

• БелОГО

Вместо того чтобы полагаться на большой список сайтов, занесенных в черный список, некоторые компании используют белый список, где пользователи могут получить доступ только к сайтам, внесенным в белый список.

Pro: прост в управлении.

Минусы: это вредит производительности.

• Блокируйте размер отправляемой информации (POST / GET).

Некоторые брандмауэры позволяют блокировать размер отправляемой информации, что делает невозможным отправку некоторых файлов.

Pro: Простота в управлении.

Минусы: некоторые пользователи могут обойти это, отправляя файлы небольшими порциями. Это может привести к поломке некоторых веб-сайтов, например, некоторые сайты Winforms Java и Visual Studio регулярно отправляют много информации.

• Блокировать не HTTP-соединения.

Pro: прост в настройке.

Минусы: это может сломать существующие системы.

По своему опыту я работал в банке. Администраторы заблокировали доступ к USB-накопителю и доступ к некоторым закрытым сайтам (черный список). Тем не менее, я создал php-файл на бесплатном веб-хостинге, и я могу загружать свои файлы без каких-либо проблем (используя обычный веб-сайт). Это заняло у меня 5 минут.

Я согласен с некоторыми комментариями, проще и эффективнее использовать человеческие правила.