阻止员工访问公共云

tag-icon tag-icon security firewall cloud
阻止员工访问公共云

首先我要声明,这不是我的想法,我不想讨论这样的做法是否合理。

然而,对于一家公司来说,有没有办法阻止员工访问公共云服务?特别是,他们不应该能够将文件上传到网络上的任何地方。

阻止 HTTPS 可能是第一个简单但非常激进的解决方案。使用 IP 地址黑名单也不够。可能需要某种软件来过滤内容级别的流量。代理可能会有所帮助,因为它能够过滤 HTTPS 流量。

这些就是我目前的想法。您觉得怎么样?有什么想法吗?

答案1

这里基本上有三个选择。

1. 切断办公室/用户的互联网连接

  • 如果他们无法进入“公共云”,他们就无法向其中上传任何内容。

2. 编制一份您担心用户访问的特定服务的黑名单。

  • 如果要达到哪怕是一点点效果,这都将是绝对巨大的。
    • 精通技术的用户总是能够找到解决这个问题的方法——例如,我可以从世界任何地方通过互联网连接到我的电脑,所以......祝你好运阻止我。

3. 做一些更合理的事情/认识到技术的局限性。

  • 这不是你的想法,但通常来说,如果你向管理层提供实施此类解决方案的缺陷和费用,他们会更愿意接受更好的方法。

    • 有时这是为了合规,或者“只是为了面子”,他们只要屏蔽最受欢迎的服务就很开心了
    • 有时他们真的不明白他们的要求有多么疯狂,需要你用他们能理解的方式告诉他们。
      • 我曾经在一家计算机安全供应商工作,当时有一位客户希望我们提供一种方法来阻止员工通过 AV 代理泄露机密信息。我拿出我的智能手机,拍了一张屏幕照片,并问他如何才能防止这种情况发生,或者甚至将信息写在一张纸上。
      • 在你的解释中使用新闻和最近发生的事件——如果陆军无法阻止曼宁,美国国家安全局无法阻止斯诺登,你怎么认为我们能做到,你认为尝试一下需要花多少钱?

答案2

当然,没有办法完全阻止它,除非将公司网络与互联网断开。

如果你真的想要一些可以工作的东西大多数存在的时间大多透明的,你需要深度嗅探数据包. 设置中间人 SSL/TLS 代理以及一个用于未加密通信的代理,并阻止所有未通过其中一个的流量。

  • 阻止 HTTP PUT 请求
  • 阻止所有内容类型不是 application/x-www-form-urlencoded 或 multipart/form-data 的 HTTP POST 请求
  • 对于 multipart/form-data 类型的 HTTP POST 请求,删除内容处置为“文件”的字段(但让其他字段通过)。
  • 阻止 FTP、BitTorrent 和 SMTP 流量
  • 阻止所有到主要 Webmail 服务以及主要公共文件存储站点的流量。

正如你所见,这是一项艰巨而痛苦的任务。它也远非无懈可击:在我写这篇文章的时候,我已经想到了几种解决方法,其中一些方法如果不从根本上切断用户的网络连接就无法解决,而且可能会有评论显示还有更多我没有想到的方法。但它应该让最多流量,同时过滤掉最容易消除文件上传的方法。

最坏的情况是,这带来的麻烦比它的价值还要多。

最好的答案是与你的老板进行某种谈判:了解他们真的他们需要了解客户的需求(可能是保护商业机密或预防责任),并指出这些不可行的技术措施为何无法满足他们的要求。然后,你就可以想出不涉及不可行的技术措施的解决方案来解决他们的问题。

在这些讨论中,不要担心意识形态:你所要做的就是关注什么可行,什么不可行。你会在那里找到你需要的所有论据,虽然这无疑会让你和你的老板都感到沮丧,但它避免了对他们做出价值判断(这可能是应得的,但只会导致谈判破裂,这是不好的)。

答案3

HopelessN00b 说过的话。我只想补充一点:

我有一个朋友在政府机构工作,她不允许把带摄像头的手机带到办公室。她通常会说,“我不允许拥有带摄像头的手机”,因为,好吧。如果她不能随身携带手机,为什么要拥有它?她很难找到有相机。

我曾在其他高度安全的地方工作过,他们通过以下方式“解决”这个问题行政法西斯主义

  • 官方规定,从工作站访问个人电子邮件属于违法行为,属于解雇行为。
  • 官方政策规定,从工作站访问云服务属于违法行为。
  • 官方规定,将拇指驱动器、iPod 或手机插入工作站是被解雇的违法行为。
  • 官方政策规定,从工作站访问社交媒体是违法行为。
  • 官方政策规定,在工作站上安装未经授权的软件是会被解雇的。
  • 官方规定,从工作站访问个人网上银行属于违法行为。
  • 一个史诗级的企业防火墙/代理,阻止了许多/大多数此类网站。例如,任何访问 facebook.com 的尝试都会提示“此网站已被 ETRM 阻止”。他们偶尔也会将 Stack Overflow 等网站视为“黑客行为”而阻止。
  • 有些“违规行为”值得向你的整个团队发送电子邮件,说明你访问了未经授权的网站(而不是解雇……这次)。(“Katherine Villyard 访问了http://icanhas.cheezburger.com/下午3点21分!”)
  • 强迫所有新员工参加“安全政策”课程,讲解这些规则,并强迫人们定期参加有关这些规则的进修课程。然后对他们进行测验并通过。

在我看来,依赖行政法西斯主义的地方通常只会粗略地尝试通过技术手段来支持这些规则。例如,他们说如果你插入拇指驱动器,他们就会解雇你,但他们不会禁用 USB。他们通过 http 而不是 https 来阻止 Facebook。而且,正如 HopelessN00b 指出的那样,精明的用户知道并嘲笑这一点。

答案4

你知道那个老笑话吗?如果你和一个半身人被一条愤怒的龙追赶,你不必跑得比龙快,你只需要比半身人快?假设非恶意用户*,您不必限制他们对公共云的访问,这足以使公共云的可用性低于您用于非桌面数据访问的任何企业解决方案的可用性。如果实施得当,这将大大降低非恶意泄漏的风险,而且只需花费很少的成本。

在大多数情况下,一个简单的黑名单就足够了。将 Google Drive、Dropbox 和 Apple Cloud 放在上面。还要阻止到 Amazon AWS 的流量——大多数建立另一个云服务的热门初创公司都没有建立自己的数据中心。你只是将知道如何进入公共云的员工数量从 90% 减少到 15%(非常粗略的数字,因行业而异)。使用合适的错误消息来解释为什么禁止使用公共云,这将减少他们对肆意审查的印象(遗憾的是,总会有用户不愿意理解)。

剩下的 15% 仍然可以联系到不在黑名单上的提供商,但他们可能不会费心去做。Google Drive 和 Co 受到强大的正网络效应(经济效应,而非技术效应)的影响。每个人都使用相同的 2-3 种服务,因此它们无处不在。用户构建了包括这些服务的便捷、精简的工作流程。如果替代云提供商无法集成到这样的工作流程中,用户就没有动力使用它。我希望您有一个企业解决方案,用于云的最基本用途,例如将文件存储在中心位置,可从校园外的物理位置访问(如果需要安全性,请使用 VPN)。

为该解决方案添加大量测量和分析。(在用户关心的地方,这始终是需要的)。对流量进行采样,特别是如果表现出可疑模式(上游流量突然增加到足以上传文档,指向同一域)。请人工查看已识别的可疑域,如果发现它是云提供商,请找出为什么用户正在使用它,与管理层讨论提供具有同等可用性的替代方案,教育违规用户了解替代方案。如果您的企业文化允许您温和地重新教育被抓到的用户,而不是在第一次实施纪律处分,那就太好了——这样他们就不会特别努力地躲避您,您将能够轻松发现偏差并以降低安全风险的方式处理情况,但仍然允许用户高效地完成工作。

一个理性的经理**会明白,这个黑名单会导致生产力损失。用户使用公共云是有原因的——他们受到激励提高生产力,便捷的工作流程提高了他们的生产力(包括他们愿意做的无偿加班量)。经理的工作是评估生产力损失和安全风险之间的权衡,并告诉你他们是愿意让情况保持原样,实施黑名单,还是采取秘密服务措施(这非常不方便,但仍然不能提供 100% 的安全性)。

[*] 我知道从事安全工作的人首先会考虑犯罪意图。事实上,一个决心坚定的罪犯比一个非恶意用户更难阻止,而且造成的损害要严重得多。但实际上,很少有组织被渗透。大多数安全问题都与善意用户的愚蠢行为有关,他们没有意识到自己行为的后果。而且由于这样的人很多,他们所构成的威胁应该像更危险但更罕见的间谍一样受到重视。

[**] 我知道,如果你的老板已经提出了这个要求,那么他们很可能不是通情达理的人。如果他们通情达理,但只是被误导了,那很好。如果他们不讲道理,固执己见,那就太不幸了,但你必须找到一种方法与他们谈判。提供这样的部分解决方案,即使你不能让他们接受,也可能是一个很好的战略举措——如果表达得当,它会向他们表明你“站在他们一边”,认真对待他们的担忧,并准备为技术上不可行的要求寻找替代方案。

相关内容