阻止员工访问公共云


29

首先,让我指出这不是我的主意,我不想讨论这种行动是否合理。

但是,对于公司而言,是否有一种方法可以阻止员工访问公共云服务?特别是,他们应该不能将文件上传到Web上的任何位置。

阻止HTTPS可能是第一个简单但非常激进的解决方案。使用IP地址黑名单也无法满足要求。可能需要某种软件来过滤内容级别的流量。代理可能会有所帮助,以便能够过滤HTTPS流量。

到目前为止,这是我的想法。你怎么看?有任何想法吗?


2
我们的一位客户(我们为他们做其他事情)通过代理传输所有流量,该代理被bluecoat.com观察。许多站点(文件存储,游戏,黑客,媒体...)被阻止。我真的很讨厌...
Reeno 2014年

45
我理解为什么您说您不想讨论这个问题,但是却滑过了一个好的sysadmin职位描述的最大部分之一:说真话。有时,一个想法表面上是愚蠢的。在其他时候,这不是一个坏主意,但它是一个社交/商业主意,并且最不适合技术解决方案。在这两种情况下,系统管理员唯一正确的做法是转身说“ ”。
MadHatter在2014年

4
@MadHatter尽管如此,除了我们分享的最初直觉之外,我尝试至少介绍技术上可行的方法。除此之外,我同意。
marsze 2014年

8
这不是管理和可接受使用策略的目的吗?
user9517支持GoFundMonica14 '02

6
可能的是:他们的计算机永远不会连接到互联网,办公室,没有可打开或透视的窗口的办公室中,不允许使用任何照相机(显然包括手机)或录音设备(例如笔)。同样,您的用户每次离开办公室时都需要进行全面的身体搜索和内存擦除,否则他们可能会记住一些东西,稍后再将其放在互联网上!
njzk2 2014年

Answers:


71

您基本上在这里有三个选择。

1.断开办公室/用户与互联网的连接

  • 如果他们无法进入“公共云”,则他们将无法上传任何内容。

2.编制您担心用户访问的特定服务的黑名单。

  • 如果这将是遥不可及的,那将是绝对巨大的。
    • 精通技术的用户将始终能够找到解决方法-我可以通过互联网从世界任何地方连接到我的计算机,因此...例如,好运阻止了我。

3.做一些更合理/认识到技术极限的事情。

  • 这不是您的主意,但是总的来说,如果您向管理层提供实施这样的解决方案的陷阱和费用,他们将对更好的方法持开放态度。

    • 有时这是合规性的事情,或“只是为了外观”,而他们对于阻止最受欢迎的服务感到满意
    • 有时他们真的不理解他们的要求多么疯狂,需要您用他们能理解的术语告诉他们。
      • 当我为一家计算机安全供应商工作时,曾经有一位客户,他希望我们提供一种阻止员工通过我们的AV代理泄露机密信息的方法。我拿出智能手机,给屏幕拍照,问他怎么可能防止这种情况发生,甚至将信息写在一张纸上。
      • 在您的解释中使用新闻和最近发生的事件-如果陆军无法阻止曼宁,而国家安全局也无法阻止斯诺登,那么您认为我们可以做到这一点又有多少钱,您认为即使尝试也要花多少钱?

11
好答案。实际上,无法使用2.a的外部actualyl处理请求-使用WHITELIST。然后雇用人员来管理它;)因为人,这将是很多工作。虽然可能少于黑名单。而且仍然一事无成(智能手机的好主意)。超现实的要求。
TomTom

1
@TomTom是的,我想到了白名单,但是在我所见过的任何地方,他们想要访问的互联网部分的白名单远远大于他们非理性地害怕/不想让员工使用的服务的黑名单。访问。
HopelessN00b

1
我认为这取决于。例如,在我的公司中,白名单可能只有300个项目。业务所需。黑名单将开始处理所有内容。最重要的是,您赢得的白名单(始终有效,从0个条目开始)-您甚至都不知道从哪里开始的黑名单。但是通常,这些都是徒劳的尝试。
TomTom

3
恕我直言,封锁10个最明显的站点可能会达到管理人员追求的95%。没有人会在乎这个街区周围的书呆子。
史蒂夫·贝内特

3
@SteveBennett虽然这可能是对的,但不能肯定地说管理层不关心5%的人和/或可以并且将绕过该系统的人员。如果技术资源不能使管理层知道系统的局限性,那么当有人将公司的所有IP上传到BitTorrent时(或任何使该问题重新引起管理层注意的事件),技术资源就会发挥作用。
HopelessN00b 2014年

30

当然,除非将公司网络与Internet断开连接,否则无法完全阻止它。

如果你真的想要的东西,应该工作的大部分时间,同时大多是透明的,你需要深嗅包。设置一个中间人SSL / TLS代理以及一个用于未加密通信的代理,并阻止所有未通过其中一个的通信。

  • 阻止HTTP PUT请求
  • 在内容类型不是application / x-www-form-urlencoded或multipart / form-data的情况下,阻止所有HTTP POST请求
  • 对于multipart / form-data类型的HTTP POST请求,请除去内容分配为“文件”的字段(但让其他字段通过)。
  • 阻止FTP,BitTorrent和SMTP流量
  • 阻止所有到主要Webmail服务以及主要公共文件存储站点的流量。

如您所见,这是一项艰巨而艰巨的任务。它也不是无懈可击:即使在撰写本文时,我仍在思考几种解决方法,其中一些解决方法必须从根本上断开用户的Web连接才能处理,并且可能会有评论显示更多我没有想到的方法考虑到。但是,它应该让大多数流量通过,同时过滤出消除文件上传的最简单方法。

最重要的是,这麻烦多于其价值。

最好的答案是与老板进行某种谈判:找出他们真正想要的(可能是保护商业秘密或防止责任),并指出为什么这些不可行的技术措施不能使他们得到他们想要的东西。然后,您可以解决不涉及不可行技术措施的问题的解决方案。

在这些讨论中,不必担心意识形态:您要做的只是专注于有效的方法和无效的方法。您会在那里找到所需的所有论据,尽管这无疑会使您和您的老板感到沮丧,但它避免对他们作出价值判断(这是当之无愧的,但只会导致谈判破裂,这很糟糕)。


4
+1可以提供一些有用的实施建议,还可以从更广泛的角度介绍该问题!
marsze 2014年

26

HopelessN00b说了什么。我只想补充一点:

我有一个朋友在政府机构工作,不允许她把带相机的手机带到办公室。她通常这样说:“我不允许带相机的手机。”因为,好吧。如果她不能随身携带她的牢房,为什么要拥有一个牢房?她很难找到没有相机的手机。

我曾在其他高安全性类型的地方工作过,这些地方可以通过行政法西斯主义 “解决”这个问题:

  • 从您的工作站访问您的个人电子邮件的官方政策是生火。
  • 从您的工作站访问云服务的官方政策是生火。
  • 将拇指驱动器,ipod或手机插入工作站的官方政策是违反职权。
  • 从您的工作站访问社交媒体的一项官方政策是违法行为。
  • 一项在您的工作站上安装未经授权的软件的官方政策是生火。
  • 从工作站访问您的个人在线银行业务的一项官方政策是违法行为。
  • 具有史诗般的公司防火墙/代理,已阻止了很多/大多数站点。例如,任何访问facebook.com的尝试都会提示“该站点被ETRM阻止”。他们偶尔也会将诸如Stack Overflow之类的东西阻止为“ hacking”。
  • 某些“违规行为”值得发送给您整个团队的电子邮件,其中指出您访问了未经授权的网站(这次是解雇……)。(“ Katherine Villyard 在下午3:21 访问http://icanhas.cheezburger.com/!”)
  • 强迫所有新员工参加解释这些规则的“安全策略”课程,并强迫人们参加有关这些规则的定期进修课程。然后对它们进行测验。

根据我的经验,依靠行政法西斯主义的地方通常只是粗略地尝试通过技术手段来支持这些规则。例如,他们说如果您插入拇指驱动器就会解雇您,但他们没有禁用USB。他们通过http而不是https阻止Facebook。而且,正如HopelessN00b指出的那样,精明的用户知道并嘲笑了这一点。


2
实际上,您可以依靠一些技术解决方案来禁用USB设备(多年来我见过的每个AV代理都可以相当有效地做到这一点),或阻止对[某些]定义明确的网站类别的访问。OP的问题在于,“公共云” /“用户可以上传数据的地方”不是一个明确定义的类别(并且不会很快出现),因此他甚至不能建议使用Webfilter作为解决方案问题...他将必须制作自定义黑名单或咨询管理才能查看原因。
HopelessN00b

我知道,我同意。我当然没有提出这份清单,以作为行动的手段。:)
Katherine Villyard 2014年

9
从技术上讲,公共云包括每个托管者,因为租用一个网站并在其中放置文件上传很简单。哎哟。无法解决的问题。
TomTom 2014年

多年以来,我父亲工作场所的员工不允许在办公室携带带摄像头的电话。最终,公司转变为允许公司电话(当时为黑莓手机,现在为iPhone),但不允许个人电话的政策。
Brian S

许多智能手机都采用模块化摄像头,只需轻轻一点即可将其卸下。您不想重复执行此操作,因为可能需要使用奇怪的工具才能保证安全,但是您可以在受限区域内使用现代,实用的手机。
Pekka

19

实际上,有一个简单的解决方案,只要您不希望内部网络同时暴露于Internet。

您的PC仅需要完全被阻止访问Internet。所有USB端口均已阻塞,等等。

为了访问Internet,人们需要使用不同的计算机(连接到不同的网络)或通过RDP连接到可以访问Internet的终端服务器。您通过RDP禁用剪贴板,并且没有Windows共享。这样,用户无法将文件复制到Internet终端服务器上,因此也无法将文件发送出去。

如果您允许在内部PC上发送电子邮件,那将留下电子邮件...这是您最大的漏洞。


3
听起来很刺耳,但可悲的是这是事实。几乎是解决此问题的唯一方法。
TomTom 2014年

2
对于我们公司的部分,我们已经有此解决方案(仅通过终端服务器的Internet和电子邮件)。但是,对于软件开发人员而言,根本无法访问Internet确实很麻烦……
marsze 2014年

@marsze-我已经看到它通过白名单代理解决了,其中通过代理允许程序员直接在其包装盒上需要的一些东西(例如Maven回购)。
ETL 2014年

1
剩下的就是笔和纸,或者仅仅是记忆。
njzk2 2014年

1
@marsze我在一家拥有独立网络的公司工作,该公司通过为开发人员提供两台机器来完成此任务。一个功能强大的开发人员可以连接到内部访问专用网络,而另一个功能强大的客户端(瘦客户端或旧的旧式垃圾箱)则可以连接到可以访问Internet的网络。一个有效的,简单的和昂贵的解决方案。
HopelessN00b 2014年

5

您知道那句老话,如果您和一个半身人被愤怒的龙追赶,您不必比这只龙跑得更快,而只需要比半个人跑得更快?假设非恶意用户*,您不必限制他们对公共云的访问,这足以使公共云的可用性低于您对非台式机数据访问拥有的任何企业解决方案的可用性。如果实施得当,这将大大降低非恶意泄漏的风险,并且只需花费一小部分成本即可。

在大多数情况下,一个简单的黑名单就足够了。将Google驱动器,Dropbox和苹果云放在上面。此外,还会阻止到Amazon AWS的流量-这些热中的新兴企业中,大多数构建又一个云服务的初创企业并不构建自己的数据中心。您只是将知道如何进入公共云的员工人数从90%减少到15%(非常粗略的数字,因行业而异)。使用适当的错误消息来解释为什么禁止使用公共云,这将减少其对肆意审查的印象(可悲的是,总会有用户不愿意理解)。

剩下的15%仍然可以到达不在黑名单中的提供商,但他们可能不会这样做。Google drive和co受强大的积极网络影响(经济种类,而不是技术种类)。每个人都使用相同的2-3个服务,因此它们内置于任何地方。用户构建方便,简化的工作流,其中包括这些服务。如果无法将替代云提供商集成到这样的工作流程中,则用户没有动力使用它。我希望您有一个针对云的最基本使用的企业解决方案,例如将文件存储在中央位置,可以从校园外的物理位置访问(如果需要安全性,可以使用VPN)。

除此解决方案外,还进行了大量的测量和分析。(对于用户而言,这始终是必需的)。对流量进行采样,尤其是在表现出可疑模式的情况下(上游流量突发大到足以将文档上传到同一域)。人工查看已识别的可疑域,如果发现它是云提供商,请找出原因用户正在使用它,与管理层讨论如何提供具有同等可用性的替代方案,并教育有问题的用户有关替代方案的信息。如果您的企业文化允许您在没有第一次实施纪律措施的情况下轻轻地对被捕获的用户进行再培训,那就太好了–这样,他们将不会试图向您隐瞒,并且您将能够轻松地发现偏差并处理情况以降低安全风险但仍允许用户有效地完成其工作的方式。

一位理智的经理**将了解,此黑名单将导致生产力下降。用户有理由使用公共云-激励他们提高生产力,便捷的工作流程提高了他们的生产力(包括他们愿意做的无偿加班费)。经理的工作是评估生产力损失和安全风险之间的平衡,并告诉您他们是否愿意让现状保持现状,实施黑名单或采取值得提供秘密服务的措施(这些措施是十分不便,但仍无法提供100%的安全性)。


[*]我知道,从事安全工作的人首先想到犯罪意图。确实,与非恶意用户相比,坚定的罪犯更难以阻止,并且造成的损害更大。但是实际上,很少有组织可以渗透。大多数安全问题与没有意识到其行为后果的好心用户的愚蠢有关。而且由于它们太多了,因此,它们所构成的威胁应该像更危险但更罕见的间谍一样受到重视。

[**]我知道,如果您的老板已经提出了这样的要求,很可能他们不是合理的类型。如果它们合理但只是被误导了,那就太好了。如果它们不合理且固执,这是不幸的,但是您必须找到与它们进行协商的方法。提供这样的局部解决方案,即使您不能让他们接受,也可以是一个很好的战略举措-恰当地提出,可以表明他们“站在他们的身边”,认真对待他们的担忧,并准备进行搜索替代技术上不可行的要求。


4

您的管理层要求您关闭Pandora的盒子。

从原则上讲,尽管可以阻止所有已知可能机制的任何文档的上传,但您将无法阻止使用零时差漏洞利用(或与您等效的零日漏洞利用)。

就是说,可以实施用于识别用户和工作站的身份验证防火墙,以限制所需ACL的访问。您可以结合其他一些答案中所述的信誉服务来帮助您管理流程。

真正的问题是要问这是关于安全性还是关于控制?如果是第一次,那么您需要了解经理准备支付的成本最低限额。如果是第二个,那么可能会有一个大型的可见剧院足以说服您,除了少数例外。


3

您需要内容过滤设备或服务(例如BlueCoat Secure Web Gateway)或具有内容过滤功能的防火墙(例如Palo Alto防火墙)。这样的产品具有包括在线存储在内的广泛类别的过滤器。

BlueCoat甚至提供基于云的服务,您可以在其中强制您的笔记本电脑用户通过在其计算机上本地运行的代理服务进行连接,但要从中央源获取内容过滤规则。


2
  • 黑名单

创建用户无法访问的站点列表。

优点:阻止特定服务。

缺点:列表很大,有时可能会损害系统防火墙的性能(通常会!)。有时可以绕开它。

  • 白名单

一些公司不是依赖于大量列入黑名单的网站,而是使用白名单,其中用户只能访问白名单的网站。

优点:易于管理。

缺点:这会损害生产率。

  • 阻止信息发送(POST / GET)的大小。

一些防火墙允许阻止信息发送的大小,导致无法发送某些文件。

优点:易于管理。

缺点:一些用户可以通过小块发送文件来绕过它。它可能会破坏某些网站,例如,某些Java和Visual Studio的winforms站点会定期发送大量信息。

  • 阻止非HTTP连接。

优点:易于配置。

缺点:可能会破坏当前系统。

根据我的经验,我在一家银行工作。管理员阻止了对USB驱动程序的访问,并访问了一些受限制的站点(黑名单)。但是,我在免费的网站托管中创建了一个php文件,并且可以毫无问题地上传我的文件(使用常规网站)。我花了5分钟时间做到了。

我同意一些意见,使用人力资源规则既简单又有效。


最近的想法是一种组合方法:HTTP的黑名单,HTTPS的白名单。至于其他解决方案:总是有必要在不破坏现有系统的情况下测试可以实现的功能,因为这视情况而定。
marsze 2014年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.