阻止员工访问公共云

首先，让我指出这不是我的主意，我不想讨论这种行动是否合理。

但是，对于公司而言，是否有一种方法可以阻止员工访问公共云服务？特别是，他们应该不能将文件上传到Web上的任何位置。

阻止HTTPS可能是第一个简单但非常激进的解决方案。使用IP地址黑名单也无法满足要求。可能需要某种软件来过滤内容级别的流量。代理可能会有所帮助，以便能够过滤HTTPS流量。

到目前为止，这是我的想法。你怎么看？有任何想法吗？

您基本上在这里有三个选择。

1.断开办公室/用户与互联网的连接

• 如果他们无法进入“公共云”，则他们将无法上传任何内容。
  
  

2.编制您担心用户访问的特定服务的黑名单。

• 如果这将是遥不可及的，那将是绝对巨大的。
  • 精通技术的用户将始终能够找到解决方法-我可以通过互联网从世界任何地方连接到我的计算机，因此...例如，好运阻止了我。
    
    

3.做一些更合理/认识到技术极限的事情。

• 这不是您的主意，但是总的来说，如果您向管理层提供实施这样的解决方案的陷阱和费用，他们将对更好的方法持开放态度。

  • 有时这是合规性的事情，或“只是为了外观”，而他们对于阻止最受欢迎的服务感到满意
  • 有时他们真的不理解他们的要求多么疯狂，需要您用他们能理解的术语告诉他们。
    • 当我为一家计算机安全供应商工作时，曾经有一位客户，他希望我们提供一种阻止员工通过我们的AV代理泄露机密信息的方法。我拿出智能手机，给屏幕拍照，问他怎么可能防止这种情况发生，甚至将信息写在一张纸上。
    • 在您的解释中使用新闻和最近发生的事件-如果陆军无法阻止曼宁，而国家安全局也无法阻止斯诺登，那么您认为我们可以做到这一点又有多少钱，您认为即使尝试也要花多少钱？

当然，除非将公司网络与Internet断开连接，否则无法完全阻止它。

如果你真的想要的东西，应该工作的大部分时间，同时大多是透明的，你需要深嗅包。设置一个中间人SSL / TLS代理以及一个用于未加密通信的代理，并阻止所有未通过其中一个的通信。

• 阻止HTTP PUT请求
• 在内容类型不是application / x-www-form-urlencoded或multipart / form-data的情况下，阻止所有HTTP POST请求
• 对于multipart / form-data类型的HTTP POST请求，请除去内容分配为“文件”的字段（但让其他字段通过）。
• 阻止FTP，BitTorrent和SMTP流量
• 阻止所有到主要Webmail服务以及主要公共文件存储站点的流量。

如您所见，这是一项艰巨而艰巨的任务。它也不是无懈可击：即使在撰写本文时，我仍在思考几种解决方法，其中一些解决方法必须从根本上断开用户的Web连接才能处理，并且可能会有评论显示更多我没有想到的方法考虑到。但是，它应该让大多数流量通过，同时过滤出消除文件上传的最简单方法。

最重要的是，这麻烦多于其价值。

最好的答案是与老板进行某种谈判：找出他们真正想要的（可能是保护商业秘密或防止责任），并指出为什么这些不可行的技术措施不能使他们得到他们想要的东西。然后，您可以解决不涉及不可行技术措施的问题的解决方案。

在这些讨论中，不必担心意识形态：您要做的只是专注于有效的方法和无效的方法。您会在那里找到所需的所有论据，尽管这无疑会使您和您的老板感到沮丧，但它避免对他们作出价值判断（这是当之无愧的，但只会导致谈判破裂，这很糟糕）。

HopelessN00b说了什么。我只想补充一点：

我有一个朋友在政府机构工作，不允许她把带相机的手机带到办公室。她通常这样说：“我不允许带相机的手机。”因为，好吧。如果她不能随身携带她的牢房，为什么要拥有一个牢房？她很难找到没有相机的手机。

我曾在其他高安全性类型的地方工作过，这些地方可以通过行政法西斯主义 “解决”这个问题：

• 从您的工作站访问您的个人电子邮件的官方政策是生火。
• 从您的工作站访问云服务的官方政策是生火。
• 将拇指驱动器，ipod或手机插入工作站的官方政策是违反职权。
• 从您的工作站访问社交媒体的一项官方政策是违法行为。
• 一项在您的工作站上安装未经授权的软件的官方政策是生火。
• 从工作站访问您的个人在线银行业务的一项官方政策是违法行为。
• 具有史诗般的公司防火墙/代理，已阻止了很多/大多数站点。例如，任何访问facebook.com的尝试都会提示“该站点被ETRM阻止”。他们偶尔也会将诸如Stack Overflow之类的东西阻止为“ hacking”。
• 某些“违规行为”值得发送给您整个团队的电子邮件，其中指出您访问了未经授权的网站（这次是解雇……）。（“ Katherine Villyard 在下午3:21 访问http://icanhas.cheezburger.com/！”）
• 强迫所有新员工参加解释这些规则的“安全策略”课程，并强迫人们参加有关这些规则的定期进修课程。然后对它们进行测验。

根据我的经验，依靠行政法西斯主义的地方通常只是粗略地尝试通过技术手段来支持这些规则。例如，他们说如果您插入拇指驱动器就会解雇您，但他们没有禁用USB。他们通过http而不是https阻止Facebook。而且，正如HopelessN00b指出的那样，精明的用户知道并嘲笑了这一点。

实际上，有一个简单的解决方案，只要您不希望内部网络同时暴露于Internet。

您的PC仅需要完全被阻止访问Internet。所有USB端口均已阻塞，等等。

为了访问Internet，人们需要使用不同的计算机（连接到不同的网络）或通过RDP连接到可以访问Internet的终端服务器。您通过RDP禁用剪贴板，并且没有Windows共享。这样，用户无法将文件复制到Internet终端服务器上，因此也无法将文件发送出去。

如果您允许在内部PC上发送电子邮件，那将留下电子邮件...这是您最大的漏洞。

您知道那句老话，如果您和一个半身人被愤怒的龙追赶，您不必比这只龙跑得更快，而只需要比半个人跑得更快？假设非恶意用户*，您不必限制他们对公共云的访问，这足以使公共云的可用性低于您对非台式机数据访问拥有的任何企业解决方案的可用性。如果实施得当，这将大大降低非恶意泄漏的风险，并且只需花费一小部分成本即可。

在大多数情况下，一个简单的黑名单就足够了。将Google驱动器，Dropbox和苹果云放在上面。此外，还会阻止到Amazon AWS的流量-这些热中的新兴企业中，大多数构建又一个云服务的初创企业并不构建自己的数据中心。您只是将知道如何进入公共云的员工人数从90％减少到15％（非常粗略的数字，因行业而异）。使用适当的错误消息来解释为什么禁止使用公共云，这将减少其对肆意审查的印象（可悲的是，总会有用户不愿意理解）。

剩下的15％仍然可以到达不在黑名单中的提供商，但他们可能不会这样做。Google drive和co受强大的积极网络影响（经济种类，而不是技术种类）。每个人都使用相同的2-3个服务，因此它们内置于任何地方。用户构建方便，简化的工作流，其中包括这些服务。如果无法将替代云提供商集成到这样的工作流程中，则用户没有动力使用它。我希望您有一个针对云的最基本使用的企业解决方案，例如将文件存储在中央位置，可以从校园外的物理位置访问（如果需要安全性，可以使用VPN）。

除此解决方案外，还进行了大量的测量和分析。（对于用户而言，这始终是必需的）。对流量进行采样，尤其是在表现出可疑模式的情况下（上游流量突发大到足以将文档上传到同一域）。人工查看已识别的可疑域，如果发现它是云提供商，请找出原因用户正在使用它，与管理层讨论如何提供具有同等可用性的替代方案，并教育有问题的用户有关替代方案的信息。如果您的企业文化允许您在没有第一次实施纪律措施的情况下轻轻地对被捕获的用户进行再培训，那就太好了–这样，他们将不会试图向您隐瞒，并且您将能够轻松地发现偏差并处理情况以降低安全风险但仍允许用户有效地完成其工作的方式。

一位理智的经理**将了解，此黑名单将导致生产力下降。用户有理由使用公共云-激励他们提高生产力，便捷的工作流程提高了他们的生产力（包括他们愿意做的无偿加班费）。经理的工作是评估生产力损失和安全风险之间的平衡，并告诉您他们是否愿意让现状保持现状，实施黑名单或采取值得提供秘密服务的措施（这些措施是十分不便，但仍无法提供100％的安全性）。

[*]我知道，从事安全工作的人首先想到犯罪意图。确实，与非恶意用户相比，坚定的罪犯更难以阻止，并且造成的损害更大。但是实际上，很少有组织可以渗透。大多数安全问题与没有意识到其行为后果的好心用户的愚蠢有关。而且由于它们太多了，因此，它们所构成的威胁应该像更危险但更罕见的间谍一样受到重视。

[**]我知道，如果您的老板已经提出了这样的要求，很可能他们不是合理的类型。如果它们合理但只是被误导了，那就太好了。如果它们不合理且固执，这是不幸的，但是您必须找到与它们进行协商的方法。提供这样的局部解决方案，即使您不能让他们接受，也可以是一个很好的战略举措-恰当地提出，可以表明他们“站在他们的身边”，认真对待他们的担忧，并准备进行搜索替代技术上不可行的要求。

您的管理层要求您关闭Pandora的盒子。

从原则上讲，尽管可以阻止所有已知可能机制的任何文档的上传，但您将无法阻止使用零时差漏洞利用（或与您等效的零日漏洞利用）。

就是说，可以实施用于识别用户和工作站的身份验证防火墙，以限制所需ACL的访问。您可以结合其他一些答案中所述的信誉服务来帮助您管理流程。

真正的问题是要问这是关于安全性还是关于控制？如果是第一次，那么您需要了解经理准备支付的成本最低限额。如果是第二个，那么可能会有一个大型的可见剧院足以说服您，除了少数例外。

您需要内容过滤设备或服务（例如BlueCoat Secure Web Gateway）或具有内容过滤功能的防火墙（例如Palo Alto防火墙）。这样的产品具有包括在线存储在内的广泛类别的过滤器。

BlueCoat甚至提供基于云的服务，您可以在其中强制您的笔记本电脑用户通过在其计算机上本地运行的代理服务进行连接，但要从中央源获取内容过滤规则。

• 黑名单

创建用户无法访问的站点列表。

优点：阻止特定服务。

缺点：列表很大，有时可能会损害系统防火墙的性能（通常会！）。有时可以绕开它。

• 白名单

一些公司不是依赖于大量列入黑名单的网站，而是使用白名单，其中用户只能访问白名单的网站。

优点：易于管理。

缺点：这会损害生产率。

• 阻止信息发送（POST / GET）的大小。

一些防火墙允许阻止信息发送的大小，导致无法发送某些文件。

优点：易于管理。

缺点：一些用户可以通过小块发送文件来绕过它。它可能会破坏某些网站，例如，某些Java和Visual Studio的winforms站点会定期发送大量信息。

• 阻止非HTTP连接。

优点：易于配置。

缺点：可能会破坏当前系统。

根据我的经验，我在一家银行工作。管理员阻止了对USB驱动程序的访问，并访问了一些受限制的站点（黑名单）。但是，我在免费的网站托管中创建了一个php文件，并且可以毫无问题地上传我的文件（使用常规网站）。我花了5分钟时间做到了。

我同意一些意见，使用人力资源规则既简单又有效。