Блокируйте доступ сотрудника к публичному облаку

Ваше руководство просит вас закрыть ящик Пандоры.

Хотя вы, в принципе, можете предотвратить загрузку любой документации для всех известных возможных механизмов, вы не сможете предотвратить ноль -day (или эквивалентные вам) от использования.

Тем не менее, аутентифицирующий брандмауэр для идентификации и пользователя, и рабочей станции может быть реализован для ограничения доступа с помощью ACL по вашему желанию. Вы можете включить службу репутации, как описано в некоторых других ответах, чтобы помочь вам управлять процессом.

Настоящий вопрос заключается в том, чтобы спросить, касается ли это безопасности или касается контроля ? Если это первое, то вам необходимо понимать порог затрат, который ваши менеджеры готовы платить. Если это второй,

Конечно, невозможно полностью заблокировать его, если только корпоративная сеть не будет отключена от Интернета.

Если вы действительно хотите что-то, что должно работать большую часть времени, будучи в основном прозрачным, вам нужно будет глубоко анализировать пакеты . Настройте прокси-сервер SSL / TLS типа «злоумышленник в середине», а также прокси-сервер для незашифрованной связи и заблокируйте весь трафик, который не проходит через один из них.

• Блокировать запросы HTTP PUT
• Блокировать все запросы HTTP POST, для которых тип содержимого не является application / x-www-form-urlencoded или multipart / form-data.
• Для запросов HTTP POST типа multipart / form- data, удалите поля с расположением содержимого "file" (но пропустите другие поля).
• Блокировать FTP, BitTorrent, и трафик SMTP
• Блокируйте весь трафик к основным службам веб-почты и к основным сайтам общедоступных файловых хранилищ.

Как видите, это масштабная и болезненная задача. Он также далек от неуязвимости : я думаю о нескольких обходных решениях, даже когда пишу это, некоторые из которых невозможно решить без существенного разрыва веб-соединений ваших пользователей, и, вероятно, будут комментарии, показывающие много больше, о чем я не думал. Но он должен пропускать большую часть трафика, отфильтровывая самые простые способы устранения загрузки файлов.

Суть в том, что это больше проблем, чем того стоит.

Лучшим ответом будет вступить в своего рода переговоры с начальством: выяснить, чего они на самом деле хотят (вероятно, либо защиты коммерческой тайны, либо предотвращения ответственности), и указать, почему эти неработающие технические меры не принесут им того, чего они хотят. Тогда вы сможете найти решения их проблем, не требующие неработающих технических средств.

Не беспокойтесь об идеологии в этих дискуссиях: все, что вам нужно сделать, это сосредоточиться на том, что будет работать, а что нет . Там вы найдете все необходимые аргументы, и хотя это, несомненно, расстроит и вас, и вашего начальства, оно позволяет избежать вынесения оценочных суждений в их адрес (что может быть заслуженным, но приведет только к срыву переговоров, а это плохо. ).

Тогда вы сможете найти решения их проблем, не требующие неработающих технических средств.

Не беспокойтесь об идеологии в этих дискуссиях: все, что вам нужно сделать, это сосредоточиться на том, что будет работать, а что нет . Там вы найдете все необходимые аргументы, и хотя это, несомненно, расстроит и вас, и вашего начальства, оно позволяет избежать вынесения оценочных суждений в их адрес (что может быть заслуженным, но приведет только к срыву переговоров, а это плохо. ).

Тогда вы сможете найти решения их проблем, не требующие неработающих технических средств.

Не беспокойтесь об идеологии в этих дискуссиях: все, что вам нужно сделать, это сосредоточиться на том, что будет работать, а что нет . Там вы найдете все необходимые аргументы, и хотя это, несомненно, расстроит и вас, и вашего начальства, оно позволяет избежать вынесения оценочных суждений в их адрес (что может быть заслуженным, но приведет только к провалу переговоров, а это плохо ).

На самом деле существует простое решение, при условии, что вы не ожидаете, что ваша внутренняя сеть будет одновременно доступна для доступа в Интернет.

Просто необходимо полностью заблокировать доступ ваших компьютеров в Интернет. . Все порты USB заблокированы и т. Д.

Чтобы выйти в Интернет, людям нужно либо использовать другой компьютер, подключенный к другой сети, либо подключиться через RDP к серверу терминалов, имеющему доступ в Интернет. Вы отключаете буфер обмена по RDP и не используете общий доступ к Windows. Таким образом, пользователи могут '

Вы знаете ту старую шутку о том, что если вас и халфлинга преследует сердитый дракон, вам не нужно бежать быстрее дракона, вам нужно только быть быстрее халфлинга. ? Предполагая, что пользователи не являются злоумышленниками *, вам не нужно ограничивать их доступ к общедоступному облаку, этого достаточно, чтобы сделать удобство использования общедоступного облака ниже, чем удобство использования любого корпоративного решения, которое у вас есть для не-настольных компьютеров. связанный доступ к данным. При правильной реализации это резко снизит риск утечек, не связанных со злонамеренными действиями, и это выполнимо за небольшую часть стоимости.

В большинстве случаев достаточно простого черного списка. Поместите на него Google диск, Dropbox и облако Apple. Также заблокируйте трафик в Amazon AWS - большинство этих горячих стартапов, создающих еще одну облачную службу, не строят свой собственный центр обработки данных. Вы только что сократили количество сотрудников, которые знают, как попасть в общедоступное облако, с 90% до 15% (очень приблизительные цифры, будут отличаться в зависимости от отрасли). Используйте подходящее сообщение об ошибке, чтобы объяснить, почему публичные облака запрещены, что уменьшит их впечатление о бессмысленной цензуре (к сожалению, всегда найдутся пользователи, не желающие понимать).

Остальные 15% все еще могут связаться с поставщиками, не внесенными в черный список, но они, вероятно, не станут это делать. Google drive и co подвержены сильному положительному сетевому эффекту (экономическому, а не техническому). Все используют одни и те же 2-3 сервиса, поэтому они встроены везде. Пользователи создают удобные, оптимизированные рабочие процессы, включающие эти службы. Если альтернативный поставщик облачных услуг не может быть интегрирован в такой рабочий процесс, у пользователей нет стимула использовать его. И я надеюсь, что у вас есть корпоративное решение для базового использования облака, такого как хранение файлов в центральном месте, доступном из физического места за пределами кампуса (с VPN, если требуется безопасность).

Добавьте к этому решению много измерений и аналитики. (Это всегда необходимо для пользователей). Возьмите образцы трафика, особенно если они обнаруживают подозрительные шаблоны (исходящий трафик в пакетах, достаточно больших для загрузки документов, направленных в тот же домен). Посмотрите на выявленные подозрительные домены, и если вы обнаружите, что это облачный провайдер, выясните , почему пользователи его используют, поговорите с руководством о предоставлении альтернативы с равным удобством использования, обучите нарушившего пользователя об альтернативе. Было бы здорово, если бы ваша корпоративная культура позволяла мягко перевоспитывать пойманных пользователей без применения дисциплинарных мер с первого раза - тогда они не будут особо от вас прятаться, а вы легко сможете уловить отклонения и справиться с ситуацией. таким образом, который снижает риск безопасности, но при этом позволяет пользователю эффективно выполнять свою работу.

Разумный менеджер ** поймет, что этот черный список приведет к снижению производительности. У пользователей была причина использовать общедоступное облако - они заинтересованы в продуктивности, а удобный рабочий процесс повысил их продуктивность (включая количество неоплачиваемых сверхурочных, которые они готовы делать). Работа менеджера состоит в том, чтобы оценить компромисс между потерей производительности и рисками безопасности и сказать вам, готовы ли они оставить ситуацию как есть, внедрить черный список или пойти на меры, достойные секретных служб (которые крайне неудобны и все же не обеспечивают 100% безопасность).

---

[*] Я знаю, что люди, чья работа связана с безопасностью, в первую очередь думают о преступном умысле. И действительно, решительного преступника гораздо труднее остановить и он может нанести гораздо больший ущерб, чем не злонамеренный пользователь. Но на самом деле существует несколько организаций, в которые проникают. Большинство проблем с безопасностью связано с глупостью пользователей из лучших побуждений, которые не осознают последствий своих действий. А поскольку их так много, к угрозе, которую они представляют, следует относиться так же серьезно, как и к более опасным, но гораздо более редким шпионам.

[**] Я знаю, что, если ваши боссы уже выдвинули это требование, скорее всего, они не из разумных людей. Если они разумны, но просто ошибочны, это прекрасно. Если они неразумны и упрямы, это прискорбно, но вы должны найти способ договориться с ними. Предложение такого частичного решения, даже если вы не можете заставить их принять его, может быть хорошим стратегическим шагом - правильно представленное, оно показывает им, что вы «на их стороне», серьезно относитесь к их опасениям и готовы искать для альтернатив технически невыполнимым требованиям.

Вам потребуется устройство или служба фильтрации содержимого, например BlueCoat Secure Web Gateway, или брандмауэр с фильтрацией содержимого, например брандмауэр Palo Alto. Такие продукты имеют широкие фильтры категорий, включая онлайн-хранилище.

BlueCoat даже предлагает облачный сервис, где вы можете заставить пользователей своих портативных компьютеров подключаться через прокси-сервис, который работает локально на их компьютере, но принимает правила фильтрации контента из центра. источник.

• Черный список

Создайте список сайтов, к которым пользователи не могут получить доступ.

Pro: Блокировать определенные службы.

Минусы: Большой список, иногда это может повредить производительность брандмауэра системы (обычно это так!). Иногда его можно было обойти.

• Белый список

Вместо того, чтобы полагаться на большой список сайтов, внесенных в черный список, некоторые компании используют белый список, в котором пользователи могут получить доступ только к сайтам из белого списка.

Pro: простота управления.

Минусы: снижает производительность.

• Блокировать размер отправляемой информации (POST / GET).

Некоторые брандмауэры позволяют блокировать размер отправляемой информации, делая невозможной отправку некоторых файлов.

Pro: Easy для управления.

Минусы: некоторые пользователи могут обойти это, посылая файлы небольшими порциями. Это может сломать некоторые веб-сайты, например, некоторые Java и Visual Studio. сайты winforms регулярно отправляют много информации.

• Блокировать соединения без HTTP.

Плюсы: легко настраивать.

Минусы: это может нарушить работу существующих систем.

По моему опыту, я работал в банке . Администраторы заблокировали доступ к USB-накопителю и доступ к некоторым запрещенным сайтам (черный список). Однако я создал php-файл на бесплатном веб-хостинге и могу без проблем загружать свои файлы (используя обычный веб-сайт). На это у меня ушло 5 минут.

Я согласен с некоторыми комментариями, проще и эффективнее использовать правила управления персоналом.

Однако я создал php-файл на бесплатном веб-хостинге и могу без проблем загружать свои файлы (используя обычный веб-сайт). На это у меня ушло 5 минут.

Я согласен с некоторыми комментариями, проще и эффективнее использовать правила управления персоналом.

Однако я создал php-файл на бесплатном веб-хостинге и могу без проблем загружать свои файлы (используя обычный веб-сайт). На это у меня ушло 5 минут.

Я согласен с некоторыми комментариями, проще и эффективнее использовать правила управления персоналом.

Что сказал HopelessN00b. Я просто хотел добавить, что:

У меня есть подруга, которая работает в правительственном учреждении, и ей не разрешают приносить в офис мобильный телефон с камерой. Обычно она говорит так: «Мне не разрешено иметь мобильный телефон с камерой», потому что ... ну. Если она не может взять с собой свой сотовый, зачем покупать его? У нее проблемы с поиском сотовых телефонов, на которых нет камер.

Я работал в других местах с высоким уровнем безопасности, которые могли бы «решить» эту проблему с помощью административного фашизма :

• Официальная политика, согласно которой доступ к вашей личной электронной почте с вашей рабочей станции является нарушением при увольнении.
• Официальная политика, согласно которой доступ к облачной службе с вашей рабочей станции является нарушением.
• Официальная политика, согласно которой подключение флэш-накопителя, ipod или сотовый телефон на рабочую станцию ​​является преступлением со стрельбой.
• Официальная политика, согласно которой доступ к социальным сетям с вашей рабочей станции является увольнением.
• Официальная политика, согласно которой установка несанкционированного программного обеспечения на вашу рабочую станцию ​​является увольнением.
• Официальная политика, предусматривающая доступ к вашему личному онлайн-банкингу из вашего рабочая станция - это преступление со стрельбой.
• Эпический корпоративный брандмауэр / прокси-сервер, у которого многие / большинство этих сайтов заблокированы. При любой попытке доступа к facebook.com, например, появляется экран с надписью «Этот сайт заблокирован ETRM». Иногда они также блокировали такие вещи, как Stack Overflow, как «взлом».
• Некоторые «нарушения» заслуживают отправки электронной почты всей вашей команде, в которой говорится, что вы получили доступ к неавторизованному сайту (в отличие от увольнения ... на этот раз). («Кэтрин Вильярд обратилась к http://icanhas.cheezburger.com/ в 15:21!»)
• Принуждение всех новых сотрудников к прохождению курса «Политика безопасности», объясняющего эти правила, и принуждение людей к проходите регулярные курсы повышения квалификации по этим правилам. А затем пройдите по ним викторину.

Места, которые полагаются на административный фашизм, обычно делают лишь поверхностные попытки поддержать эти правила техническими средствами, по моему опыту. Например, они говорят, что вас уволят, если вы подключите флэш-накопитель, но они не отключают USB. Они блокируют Facebook через http, но не через https. А также, как указал HopelessN00b, опытные пользователи знают это и издеваются над этим.