Chặn nhân viên truy cập vào đám mây công cộng

Trước hết, hãy để tôi nói rằng đây không phải là ý tưởng của tôi và tôi không muốn thảo luận liệu một hành động như vậy có hợp lý hay không.

Tuy nhiên, đối với một công ty, có cách nào để ngăn chặn nhân viên truy cập các dịch vụ đám mây công cộng không? Cụ thể, họ không thể tải tệp lên bất kỳ nơi nào trên web.

Chặn HTTPS có thể là một giải pháp đầu tiên, đơn giản nhưng rất triệt để. Sử dụng danh sách đen các địa chỉ IP cũng không đủ. Có lẽ, một số loại phần mềm là cần thiết để lọc lưu lượng ở cấp độ nội dung. Một proxy có thể hữu ích, để có thể lọc lưu lượng HTTPS.

Luận văn là suy nghĩ của tôi cho đến nay. Bạn nghĩ sao? Có ý kiến ​​gì không?

Về cơ bản bạn có ba lựa chọn ở đây.

1. Ngắt kết nối văn phòng / người dùng của bạn khỏi internet

• Nếu họ không thể truy cập vào "đám mây công cộng", họ không thể tải lên bất cứ điều gì lên nó.
  
  

2. Lập danh sách đen các dịch vụ cụ thể mà bạn lo lắng về việc người dùng truy cập.

• Điều này sẽ cực kỳ lớn nếu nó có nghĩa là thậm chí có hiệu quả từ xa.
  • Người dùng am hiểu công nghệ sẽ luôn có thể tìm ra cách thức - ví dụ: tôi có thể kết nối với máy tính của mình từ bất kỳ đâu trên thế giới bằng kết nối internet, vì vậy ... chúc may mắn chặn tôi, chẳng hạn.
    
    

3. Làm điều gì đó hợp lý hơn / nhận ra giới hạn của công nghệ.

• Đây không phải là ý tưởng của bạn, nhưng nhìn chung, nếu bạn cung cấp cho ban quản lý những cạm bẫy và chi phí khi thực hiện một giải pháp như thế này, họ sẽ cởi mở hơn với những cách tiếp cận tốt hơn.

  • Đôi khi, đây là một điều tuân thủ hoặc "chỉ để xuất hiện" và họ hài lòng với việc chỉ chặn các dịch vụ phổ biến nhất
  • Đôi khi, họ thực sự không hiểu được yêu cầu của họ điên rồ đến mức nào, và cần bạn nói với họ bằng những từ ngữ họ có thể hiểu.
    • Có một khách hàng một lần, khi tôi đang làm việc cho một nhà cung cấp bảo mật máy tính, người muốn chúng tôi cung cấp một cách để ngăn chặn nhân viên rò rỉ thông tin bí mật với đại lý AV của chúng tôi. Tôi rút điện thoại thông minh ra, chụp ảnh màn hình và hỏi anh ấy làm thế nào anh ấy có thể ngăn chặn điều đó, hoặc thậm chí viết thông tin xuống một tờ giấy.
    • Sử dụng tin tức và các sự kiện gần đây trong lời giải thích của bạn - nếu Quân đội không thể dừng Manning và NSA không thể ngăn Snowden, điều gì khiến bạn nghĩ chúng ta có thể làm điều đó, và bạn nghĩ thậm chí sẽ cố gắng bao nhiêu tiền?

Tất nhiên, không có cách nào để chặn nó hoàn toàn, trừ khi mạng công ty bị ngắt kết nối Internet.

Nếu bạn thực sự muốn một cái gì đó hoạt động hầu hết thời gian trong khi hầu hết là trong suốt, bạn sẽ cần phải đánh hơi các gói . Thiết lập proxy SSL / TLS trung gian, cũng như một proxy để liên lạc không được mã hóa và chặn tất cả lưu lượng truy cập không đi qua một trong số này.

• Chặn các yêu cầu PUT HTTP
• Chặn tất cả các yêu cầu POST HTTP trong đó loại nội dung không phải là application / x-www-form-urlencoding hoặc multiart / form-data
• Đối với các yêu cầu POST HTTP của kiểu dữ liệu đa dữ liệu / biểu mẫu, hãy loại bỏ các trường có nội dung xử lý "tệp" (nhưng để các trường khác đi qua).
• Chặn lưu lượng FTP, BitTorrent và SMTP
• Chặn tất cả lưu lượng truy cập vào các dịch vụ Webmail chính và các trang lưu trữ tệp công cộng chính.

Như bạn có thể thấy, đây là một công việc lớn và đau đớn. Nó cũng khác xa với sự bất khả xâm phạm : Tôi đang nghĩ đến một số cách giải quyết ngay cả khi tôi viết bài này, một số trong số đó không thể được xử lý mà không phá vỡ cơ bản các kết nối Web của người dùng của bạn và có thể sẽ có nhiều nhận xét cho thấy tôi không biết nghĩ về Nhưng nó sẽ cho phép hầu hết lưu lượng truy cập thông qua, trong khi lọc ra những cách dễ nhất để loại bỏ tải lên tệp.

Điểm mấu chốt là điều này rắc rối hơn giá trị của nó.

Câu trả lời tốt nhất là tham gia vào một cuộc đàm phán với các sếp của bạn: tìm hiểu những gì họ thực sự muốn (có thể là bảo vệ bí mật thương mại hoặc phòng ngừa trách nhiệm pháp lý), và chỉ ra lý do tại sao các biện pháp công nghệ không khả thi này sẽ không đạt được những gì họ muốn. Sau đó, bạn có thể tìm ra giải pháp cho các vấn đề của họ mà không liên quan đến các biện pháp công nghệ không khả thi.

Đừng lo lắng về ý thức hệ trong các cuộc thảo luận này: tất cả những gì bạn phải làm là tập trung vào những gì sẽ hoạt động và những gì sẽ không . Bạn sẽ tìm thấy tất cả các lý lẽ bạn cần ở đó, và trong khi điều này chắc chắn sẽ làm nản lòng cả bạn và sếp của bạn, nó tránh được việc đưa ra các phán xét giá trị chống lại họ (điều này có thể xứng đáng, nhưng sẽ chỉ khiến các cuộc đàm phán bị phá vỡ, và đó là Xấu ).

Những gì HoplessN00b nói. Tôi chỉ muốn thêm rằng:

Tôi có một người bạn làm việc tại một cơ quan chính phủ nơi cô ấy không được phép mang điện thoại di động có máy ảnh đến văn phòng. Cô ấy thường nói rằng, "Tôi không được phép sở hữu một chiếc điện thoại di động có máy ảnh", bởi vì, tốt. Nếu cô ấy không thể mang di động theo, tại sao lại sở hữu nó? Cô gặp khó khăn trong việc tìm kiếm điện thoại di động không có máy ảnh.

Tôi đã từng làm việc cho những nơi thuộc loại bảo mật cao khác sẽ "giải quyết" vấn đề này thông qua chủ nghĩa phát xít hành chính :

• Một chính sách chính thức truy cập email cá nhân của bạn từ máy trạm của bạn là một hành vi phạm tội.
• Chính sách chính thức truy cập dịch vụ đám mây từ máy trạm của bạn là hành vi phạm tội.
• Một chính sách chính thức cắm ổ ngón tay cái, ipod hoặc điện thoại di động vào máy trạm là một hành vi phạm tội.
• Một chính sách chính thức truy cập phương tiện truyền thông xã hội từ máy trạm của bạn là một hành vi phạm tội.
• Một chính sách chính thức cài đặt phần mềm trái phép trên máy trạm của bạn là một hành vi phạm tội.
• Một chính sách chính thức truy cập ngân hàng trực tuyến cá nhân của bạn từ máy trạm của bạn là một hành vi phạm tội.
• Một tường lửa / proxy công ty hoành tráng có nhiều / hầu hết các trang web đó bị chặn. Ví dụ, bất kỳ nỗ lực nào để truy cập facebook.com đều nhắc nhở "Trang web này bị chặn bởi ETRM." Thỉnh thoảng họ cũng chặn những thứ như Stack Overflow là "hack".
• Một số "hành vi phạm tội" đáng khen một email được gửi đến toàn bộ nhóm của bạn nói rằng bạn đã truy cập một trang web trái phép (trái ngược với việc bắn ... lần này). ("Kinda Villyard truy cập http://icanhas.cheezburger.com/ lúc 3:21 chiều!")
• Buộc tất cả các nhân viên mới tham gia lớp "chính sách bảo mật" giải thích các quy tắc này và buộc mọi người phải tham gia các khóa bồi dưỡng thường xuyên về các quy tắc này. Và sau đó lấy và vượt qua một câu đố về họ.

Theo kinh nghiệm của tôi, những nơi dựa vào Chủ nghĩa phát xít hành chính chỉ thực hiện những nỗ lực đáng nguyền rủa để sao lưu các quy tắc này thông qua các phương tiện kỹ thuật, theo kinh nghiệm của tôi. Ví dụ, họ nói rằng họ sẽ sa thải bạn nếu bạn cắm ổ USB, nhưng họ không tắt USB. Họ chặn Facebook thông qua http nhưng không qua https. Và, như HoplessN00b đã chỉ ra, những người dùng thông thái biết và chế giễu điều này.

Trên thực tế, có một giải pháp đơn giản với điều kiện bạn cũng không mong muốn mạng nội bộ của mình được tiếp xúc với Internet cùng một lúc.

PC của bạn chỉ cần bị chặn hoàn toàn khỏi việc truy cập Internet. Tất cả các cổng USB bị chặn, v.v.

Để truy cập Internet, mọi người sau đó cần sử dụng một máy tính khác - được kết nối với một mạng khác - hoặc kết nối qua RDP với Terminal Server có truy cập Internet. Bạn vô hiệu hóa clipboard trên RDP và không có cửa sổ chia sẻ. Bằng cách đó, người dùng không thể sao chép tệp vào Máy chủ Internet Terminal và do đó không thể gửi tệp ra.

Điều đó khiến email ... đó là lỗ hổng lớn nhất của bạn trong vấn đề này nếu bạn cho phép email trên PC nội bộ.

Bạn có biết rằng một trò đùa cũ rằng, nếu bạn và một nửa con rồng bị một con rồng giận dữ đuổi theo, bạn không cần phải chạy nhanh hơn con rồng, bạn chỉ cần phải nhanh hơn một nửa? Giả sử người dùng không độc hại *, bạn không phải hạn chế quyền truy cập của họ vào đám mây công cộng, điều đó đủ để làm cho khả năng sử dụng của đám mây công cộng thấp hơn khả năng sử dụng của bất kỳ giải pháp enterprisey nào bạn có để truy cập dữ liệu không bị ràng buộc . Thực hiện đúng, điều này sẽ làm giảm nguy cơ rò rỉ không độc hại mạnh mẽ, và có thể thực hiện được với một phần chi phí.

Trong hầu hết các trường hợp, một danh sách đen đơn giản nên đủ. Đặt Google drive, Dropbox và đám mây Apple trên đó. Đồng thời chặn lưu lượng truy cập vào Amazon AWS - hầu hết các công ty khởi nghiệp nóng này, những người xây dựng một dịch vụ đám mây khác không xây dựng trung tâm dữ liệu của riêng họ. Bạn chỉ cần giảm số lượng nhân viên biết cách vào đám mây công cộng từ 90% xuống 15% (số lượng rất thô, sẽ khác nhau theo ngành). Sử dụng một thông báo lỗi phù hợp để giải thích tại sao các đám mây công cộng bị cấm, điều này sẽ làm giảm ấn tượng của họ về kiểm duyệt bừa bãi (đáng buồn thay, sẽ luôn có người dùng không sẵn lòng hiểu).

15% còn lại vẫn có thể tiếp cận các nhà cung cấp không nằm trong danh sách đen, nhưng có lẽ họ sẽ không bận tâm để làm điều đó. Google drive và co phải chịu các hiệu ứng mạng tích cực mạnh mẽ (loại kinh tế, không phải loại kỹ thuật). Mọi người đều sử dụng 2-3 dịch vụ giống nhau, vì vậy chúng được xây dựng ở mọi nơi. Người dùng xây dựng các quy trình công việc thuận tiện, hợp lý bao gồm các dịch vụ này. Nếu nhà cung cấp đám mây thay thế không thể được tích hợp vào quy trình làm việc như vậy, người dùng không có động lực để sử dụng nó. Và tôi hy vọng rằng bạn có một giải pháp công ty cho việc sử dụng đám mây cơ bản nhất như lưu trữ tệp ở vị trí trung tâm, có thể truy cập từ một vị trí thực tế bên ngoài khuôn viên (với VPN nếu cần bảo mật).

Thêm vào giải pháp này một lượng lớn các phép đo và phân tích. (Điều này luôn cần thiết khi người dùng quan tâm). Lấy các mẫu lưu lượng truy cập, đặc biệt nếu hiển thị các mẫu đáng ngờ (lưu lượng truy cập ngược dòng trong các cụm đủ lớn để tải lên các tài liệu, được hướng vào cùng một tên miền). Có một cái nhìn của con người về các miền đáng ngờ đã được xác định và nếu bạn thấy rằng đó là một nhà cung cấp đám mây, hãy tìm hiểu tại saoNgười dùng đang sử dụng nó, nói chuyện với ban quản lý về việc cung cấp một giải pháp thay thế có khả năng sử dụng như nhau, giáo dục người dùng vi phạm về phương án đó. Sẽ thật tuyệt nếu văn hóa doanh nghiệp của bạn cho phép bạn nhẹ nhàng kiểm tra lại những người dùng bị bắt mà không thực hiện các biện pháp kỷ luật lần đầu tiên - sau đó họ sẽ không cố gắng che giấu bạn một cách đặc biệt, và bạn sẽ có thể dễ dàng bắt gặp những sai lệch và xử lý tình huống theo cách làm giảm rủi ro bảo mật nhưng vẫn cho phép người dùng thực hiện công việc của mình một cách hiệu quả.

Một người quản lý hợp lý ** sẽ hiểu rằng danh sách đen này sẽ dẫn đến mất năng suất. Người dùng có lý do để sử dụng đám mây công cộng - họ được khuyến khích làm việc hiệu quả và quy trình làm việc thuận tiện đã tăng năng suất của họ (bao gồm cả số giờ làm thêm không được trả mà họ sẵn sàng làm). Công việc của người quản lý là đánh giá sự đánh đổi giữa mất năng suất và rủi ro bảo mật và cho bạn biết nếu họ sẵn sàng để tình huống như hiện tại, thực hiện danh sách đen hoặc thực hiện các biện pháp xứng đáng với dịch vụ bí mật (đó là bất tiện nghiêm trọng và vẫn không cung cấp bảo mật 100%).

[*] Tôi biết rằng những người có công việc bảo mật nghĩ đến mục đích phạm tội trước tiên. Và thực sự, một tên tội phạm kiên quyết khó ngăn chặn hơn nhiều và có thể gây ra thiệt hại tồi tệ hơn nhiều so với người dùng không độc hại. Nhưng trong thực tế, có rất ít tổ chức bị xâm nhập. Hầu hết các vấn đề bảo mật có liên quan đến sự ngu ngốc của những người dùng có ý nghĩa tốt, những người không nhận ra hậu quả của hành động của họ. Và bởi vì có rất nhiều người trong số họ, mối đe dọa mà họ gây ra nên được xem xét nghiêm trọng như là gián điệp nguy hiểm hơn, nhưng hiếm hơn nhiều.

[**] Tôi biết rằng, nếu các sếp của bạn đã đưa ra yêu cầu đó, rất có thể họ không phải là loại hợp lý. Nếu chúng hợp lý nhưng chỉ sai lầm, điều đó thật tuyệt. Nếu họ không hợp lý và bướng bỉnh, điều này thật đáng tiếc, nhưng bạn phải tìm cách thương lượng với họ. Đưa ra một giải pháp một phần như vậy, ngay cả khi bạn không thể khiến họ chấp nhận nó, có thể là một bước đi chiến lược tốt - được trình bày đúng, nó cho họ thấy rằng bạn "đứng về phía họ", nghiêm túc quan tâm đến họ và sẵn sàng tìm kiếm cho các lựa chọn thay thế cho các yêu cầu kỹ thuật không khả thi.

Quản lý của bạn đang yêu cầu bạn đóng hộp Pandora.

Về nguyên tắc, mặc dù bạn có thể ngăn không cho tải lên bất kỳ tài liệu nào cho tất cả các cơ chế có thể đã biết, bạn sẽ không thể ngăn chặn việc khai thác 0 ngày (hoặc tương đương với bạn).

Điều đó nói rằng, một tường lửa xác thực để xác định cả người dùng và máy trạm, có thể được triển khai để hạn chế quyền truy cập với ACL mà bạn mong muốn. Bạn có thể kết hợp một dịch vụ danh tiếng như được mô tả trong một số câu trả lời khác để giúp bạn quản lý quy trình.

Câu hỏi thực sự là hỏi liệu đây là về bảo mật , hay đây là về kiểm soát ? Nếu đó là lần đầu tiên, thì bạn cần hiểu ngưỡng chi phí mà các nhà quản lý của bạn sẵn sàng trả. Nếu đó là lần thứ hai, thì có lẽ một nhà hát lớn có thể nhìn thấy sẽ đủ để thuyết phục họ mà bạn đã giao, với những ngoại lệ nhỏ.

Bạn cần một thiết bị hoặc dịch vụ lọc nội dung, như Cổng web bảo mật BlueCoat hoặc tường lửa có chức năng lọc nội dung, như tường lửa Palo Alto. Các sản phẩm như thế này có các bộ lọc danh mục rộng bao gồm lưu trữ trực tuyến.

BlueCoat thậm chí còn cung cấp dịch vụ dựa trên đám mây nơi bạn có thể buộc người dùng máy tính xách tay của mình kết nối thông qua dịch vụ proxy chạy cục bộ trên máy tính của họ, nhưng lấy quy tắc lọc nội dung từ nguồn trung tâm.

• Danh sách đen

Tạo một danh sách các trang web mà người dùng không thể truy cập.

Pro: Chặn dịch vụ cụ thể.

Nhược điểm: Một danh sách lớn, đôi khi nó có thể làm tổn hại đến hiệu suất của tường lửa của hệ thống (thường là như vậy!). Đôi khi nó có thể được bỏ qua.

• Danh sách trắng

Thay vì dựa vào một danh sách lớn các trang web trong danh sách đen, một số công ty sử dụng danh sách trắng nơi người dùng chỉ có thể truy cập vào các trang web trong danh sách trắng.

Pro: dễ quản lý.

Nhược điểm: làm tổn thương năng suất.

• Chặn kích thước của thông tin gửi (POST / GET).

Một số tường lửa cho phép chặn kích thước gửi thông tin, khiến không thể gửi một số tệp.

Pro: Dễ quản lý.

Nhược điểm: một số người dùng có thể bỏ qua nó bằng cách gửi các tệp trong khối nhỏ. Nó có thể phá vỡ một số trang web, ví dụ, một số trang web winforms của Java và Visual Studio thường xuyên gửi nhiều thông tin.

• Chặn các kết nối không HTTP.

Pro: dễ cấu hình.

Nhược điểm: nó có thể phá vỡ các hệ thống hiện tại.

Theo kinh nghiệm của tôi, tôi đã làm việc cho một ngân hàng. Các quản trị viên đã chặn quyền truy cập vào trình điều khiển usb và truy cập một số trang web bị hạn chế (danh sách đen). Tuy nhiên, tôi đã tạo một tệp php trong một webhosting miễn phí và tôi có thể tải lên các tệp của mình mà không gặp vấn đề gì (sử dụng một trang web thông thường). Tôi mất 5 phút để làm điều đó.

Tôi đồng ý với một số ý kiến, là dễ dàng và hiệu quả hơn để sử dụng quy tắc nhân sự.