首先,让我指出这不是我的主意,我不想讨论这种行动是否合理。
但是,对于公司而言,是否有一种方法可以阻止员工访问公共云服务?特别是,他们应该不能将文件上传到Web上的任何位置。
阻止HTTPS可能是第一个简单但非常激进的解决方案。使用IP地址黑名单也无法满足要求。可能需要某种软件来过滤内容级别的流量。代理可能会有所帮助,以便能够过滤HTTPS流量。
到目前为止,这是我的想法。你怎么看?有任何想法吗?
首先,让我指出这不是我的主意,我不想讨论这种行动是否合理。
但是,对于公司而言,是否有一种方法可以阻止员工访问公共云服务?特别是,他们应该不能将文件上传到Web上的任何位置。
阻止HTTPS可能是第一个简单但非常激进的解决方案。使用IP地址黑名单也无法满足要求。可能需要某种软件来过滤内容级别的流量。代理可能会有所帮助,以便能够过滤HTTPS流量。
到目前为止,这是我的想法。你怎么看?有任何想法吗?
Answers:
您基本上在这里有三个选择。
这不是您的主意,但是总的来说,如果您向管理层提供实施这样的解决方案的陷阱和费用,他们将对更好的方法持开放态度。
当然,除非将公司网络与Internet断开连接,否则无法完全阻止它。
如果你真的想要的东西,应该工作的大部分时间,同时大多是透明的,你需要深嗅包。设置一个中间人SSL / TLS代理以及一个用于未加密通信的代理,并阻止所有未通过其中一个的通信。
如您所见,这是一项艰巨而艰巨的任务。它也不是无懈可击:即使在撰写本文时,我仍在思考几种解决方法,其中一些解决方法必须从根本上断开用户的Web连接才能处理,并且可能会有评论显示更多我没有想到的方法考虑到。但是,它应该让大多数流量通过,同时过滤出消除文件上传的最简单方法。
最重要的是,这麻烦多于其价值。
最好的答案是与老板进行某种谈判:找出他们真正想要的(可能是保护商业秘密或防止责任),并指出为什么这些不可行的技术措施不能使他们得到他们想要的东西。然后,您可以解决不涉及不可行技术措施的问题的解决方案。
在这些讨论中,不必担心意识形态:您要做的只是专注于有效的方法和无效的方法。您会在那里找到所需的所有论据,尽管这无疑会使您和您的老板感到沮丧,但它避免对他们作出价值判断(这是当之无愧的,但只会导致谈判破裂,这很糟糕)。
HopelessN00b说了什么。我只想补充一点:
我有一个朋友在政府机构工作,不允许她把带相机的手机带到办公室。她通常这样说:“我不允许带相机的手机。”因为,好吧。如果她不能随身携带她的牢房,为什么要拥有一个牢房?她很难找到没有相机的手机。
我曾在其他高安全性类型的地方工作过,这些地方可以通过行政法西斯主义 “解决”这个问题:
根据我的经验,依靠行政法西斯主义的地方通常只是粗略地尝试通过技术手段来支持这些规则。例如,他们说如果您插入拇指驱动器就会解雇您,但他们没有禁用USB。他们通过http而不是https阻止Facebook。而且,正如HopelessN00b指出的那样,精明的用户知道并嘲笑了这一点。
实际上,有一个简单的解决方案,只要您不希望内部网络同时暴露于Internet。
您的PC仅需要完全被阻止访问Internet。所有USB端口均已阻塞,等等。
为了访问Internet,人们需要使用不同的计算机(连接到不同的网络)或通过RDP连接到可以访问Internet的终端服务器。您通过RDP禁用剪贴板,并且没有Windows共享。这样,用户无法将文件复制到Internet终端服务器上,因此也无法将文件发送出去。
如果您允许在内部PC上发送电子邮件,那将留下电子邮件...这是您最大的漏洞。
您知道那句老话,如果您和一个半身人被愤怒的龙追赶,您不必比这只龙跑得更快,而只需要比半个人跑得更快?假设非恶意用户*,您不必限制他们对公共云的访问,这足以使公共云的可用性低于您对非台式机数据访问拥有的任何企业解决方案的可用性。如果实施得当,这将大大降低非恶意泄漏的风险,并且只需花费一小部分成本即可。
在大多数情况下,一个简单的黑名单就足够了。将Google驱动器,Dropbox和苹果云放在上面。此外,还会阻止到Amazon AWS的流量-这些热中的新兴企业中,大多数构建又一个云服务的初创企业并不构建自己的数据中心。您只是将知道如何进入公共云的员工人数从90%减少到15%(非常粗略的数字,因行业而异)。使用适当的错误消息来解释为什么禁止使用公共云,这将减少其对肆意审查的印象(可悲的是,总会有用户不愿意理解)。
剩下的15%仍然可以到达不在黑名单中的提供商,但他们可能不会这样做。Google drive和co受强大的积极网络影响(经济种类,而不是技术种类)。每个人都使用相同的2-3个服务,因此它们内置于任何地方。用户构建方便,简化的工作流,其中包括这些服务。如果无法将替代云提供商集成到这样的工作流程中,则用户没有动力使用它。我希望您有一个针对云的最基本使用的企业解决方案,例如将文件存储在中央位置,可以从校园外的物理位置访问(如果需要安全性,可以使用VPN)。
除此解决方案外,还进行了大量的测量和分析。(对于用户而言,这始终是必需的)。对流量进行采样,尤其是在表现出可疑模式的情况下(上游流量突发大到足以将文档上传到同一域)。人工查看已识别的可疑域,如果发现它是云提供商,请找出原因用户正在使用它,与管理层讨论如何提供具有同等可用性的替代方案,并教育有问题的用户有关替代方案的信息。如果您的企业文化允许您在没有第一次实施纪律措施的情况下轻轻地对被捕获的用户进行再培训,那就太好了–这样,他们将不会试图向您隐瞒,并且您将能够轻松地发现偏差并处理情况以降低安全风险但仍允许用户有效地完成其工作的方式。
一位理智的经理**将了解,此黑名单将导致生产力下降。用户有理由使用公共云-激励他们提高生产力,便捷的工作流程提高了他们的生产力(包括他们愿意做的无偿加班费)。经理的工作是评估生产力损失和安全风险之间的平衡,并告诉您他们是否愿意让现状保持现状,实施黑名单或采取值得提供秘密服务的措施(这些措施是十分不便,但仍无法提供100%的安全性)。
[*]我知道,从事安全工作的人首先想到犯罪意图。确实,与非恶意用户相比,坚定的罪犯更难以阻止,并且造成的损害更大。但是实际上,很少有组织可以渗透。大多数安全问题与没有意识到其行为后果的好心用户的愚蠢有关。而且由于它们太多了,因此,它们所构成的威胁应该像更危险但更罕见的间谍一样受到重视。
[**]我知道,如果您的老板已经提出了这样的要求,很可能他们不是合理的类型。如果它们合理但只是被误导了,那就太好了。如果它们不合理且固执,这是不幸的,但是您必须找到与它们进行协商的方法。提供这样的局部解决方案,即使您不能让他们接受,也可以是一个很好的战略举措-恰当地提出,可以表明他们“站在他们的身边”,认真对待他们的担忧,并准备进行搜索替代技术上不可行的要求。
创建用户无法访问的站点列表。
优点:阻止特定服务。
缺点:列表很大,有时可能会损害系统防火墙的性能(通常会!)。有时可以绕开它。
一些公司不是依赖于大量列入黑名单的网站,而是使用白名单,其中用户只能访问白名单的网站。
优点:易于管理。
缺点:这会损害生产率。
一些防火墙允许阻止信息发送的大小,导致无法发送某些文件。
优点:易于管理。
缺点:一些用户可以通过小块发送文件来绕过它。它可能会破坏某些网站,例如,某些Java和Visual Studio的winforms站点会定期发送大量信息。
优点:易于配置。
缺点:可能会破坏当前系统。
根据我的经验,我在一家银行工作。管理员阻止了对USB驱动程序的访问,并访问了一些受限制的站点(黑名单)。但是,我在免费的网站托管中创建了一个php文件,并且可以毫无问题地上传我的文件(使用常规网站)。我花了5分钟时间做到了。
我同意一些意见,使用人力资源规则既简单又有效。