Çalışanların genel bulutta erişimini engelleme

Her şeyden önce, bunun benim fikrim olmadığını söyleyeyim ve böyle bir eylemin makul olup olmadığını tartışmak istemiyorum.

Ancak, bir şirket için çalışanların genel bulut hizmetlerine erişmesini önlemenin bir yolu var mı? Özellikle, web’deki hiçbir yere dosya yükleyememelidirler.

HTTPS'yi engellemek ilk, basit ama çok radikal bir çözüm olabilir. IP adreslerinin kara listesini kullanmak da yeterli olmaz. Muhtemelen, trafiği içerik düzeyinde filtrelemek için bir tür yazılım gerekir. HTTPS trafiğini filtrelemek için bir proxy yardımcı olabilir.

Tezler şu ana kadar benim düşüncelerim. Ne düşünüyorsun? Herhangi bir fikir?

Burada temel olarak üç seçeneğiniz var.

1. Ofisinizi / kullanıcılarınızı internetten ayırın

• "Genel bulut" a ulaşamazlarsa, hiçbir şey yükleyemezler.
  
  

2. Erişen kullanıcılar hakkında endişelendiğiniz belirli hizmetlerin bir kara listesini derleyin.

• Uzaktan bile etkili olması gerekiyorsa, bu kesinlikle büyük olacak.
  • Teknoloji meraklısı kullanıcılar her zaman buralarda bir yol bulabilirler - Bilgisayarıma dünyanın herhangi bir yerinden bir internet bağlantısı ile bağlanabilirim, bu yüzden ... örneğin beni engellemede iyi şanslar.
    
    

3. Daha makul bir şeyler yapın / teknolojinin sınırlarını tanıyın.

• Bu senin fikrin değil, ama genellikle, tuzaklar ve buna benzer bir çözüm uygulama masrafları ile yönetim sağlarsanız, daha iyi yaklaşımlara daha açık olacaklardır.

  • Bazen bu bir uyumluluk meselesidir, veya “sadece görünüşler için” ve en popüler hizmetleri engellemekten mutluluk duyuyorlar
  • Bazen, taleplerinin ne kadar delice olduğunu gerçekten anlamıyorlar ve onlara anlayabilecekleri bir şekilde söylemenizi istiyorlar.
    • Bir keresinde, bir bilgisayar güvenlik satıcısı için çalışırken, çalışanların AV ajanımızla gizli bilgilerin sızdırılmasını engellememizi isteyen bir müşterimiz vardı. Akıllı telefonumu çırptım, ekranımın bir resmini çektim ve ona bunu nasıl önleyebileceğini, hatta bilgileri bir kağıda yazdığını bile sordum.
    • Açıklamanızdaki haberleri ve son olayları kullanın - Ordu Manning'i durduramadıysa ve NSA Snowden'i durduramadıysa, bunu yapabileceğimizi düşündüren nedir ve ne kadar paraya mal olacağını düşünüyorsunuz?

Tabii ki, kurumsal ağın İnternet bağlantısı kesilmediği sürece, bunu tamamen engellemenin bir yolu yoktur.

Eğer varsa gerçekten çalışması gerektiğini şey istiyorum çoğu olurken zaman çoğunlukla şeffaf, derin-kokla paketlerinin gerekir . Şifrelenmemiş iletişim için bir tane olarak ortada bir SSL / TLS proxy'si kurun ve bunlardan birinden geçmeyen tüm trafiği engelleyin.

• HTTP PUT isteklerini engelle
• İçerik türünün application / x-www-form-urlencoded veya multipart / form-data olmadığı tüm HTTP POST isteklerini engelleyin
• Multipart / form-data türündeki HTTP POST istekleri için, "dosya" içerik düzenine sahip alanları çıkarın (ancak diğer alanların geçmesine izin verin).
• FTP, BitTorrent ve SMTP trafiğini engelleme
• Büyük Webmail hizmetlerine ve büyük genel dosya depolama sitelerine yönelik tüm trafiği engelleyin.

Gördüğünüz gibi, bu çok büyük ve acı verici bir girişim. Ayrıca yenilmez olmaktan çok uzak : Bunları yazarken bile, bazıları kullanıcılarınızın Web bağlantılarını koparmadan idare edilemeyecek birkaç çözüm bulmayı düşünüyorum ve muhtemelen yapmadığım birçok şeyi gösteren yorumlar da olacak. düşün. Ancak dosya yüklemesini engellemenin en kolay yolunu filtrelerken, çoğu trafiğe izin vermelidir .

Sonuç olarak, bu değerden daha fazla sorun.

En iyi cevap, patronlarınızla bir tür müzakereye girmek olacaktır: gerçekte ne istediklerini bulmak (muhtemelen ticari sırların korunması veya borcun önlenmesi) ve bu çalıştırılamaz teknolojik önlemlerin neden istediklerini almadıklarını belirtmek. Ardından, çalışılamayan teknolojik önlemleri içermeyen sorunlarına çözüm üretebilirsiniz.

Bu tartışmalarda ideoloji konusunda endişelenmeyin: tek yapmanız gereken neyin işe yarayıp neyin işe yaramadığına odaklanmak . Orada ihtiyacınız olan tüm argümanları bulacaksınız ve bu şüphesiz hem sizi hem de patronlarınızı sinirlendirecek olsa da, bunlara karşı değer yargılamaktan kaçınır (hak edilebilir, ancak yalnızca görüşmelerin bozulmasına neden olur ve bu Kötü ).

Umutsuz N00b ne dedi? Sadece şunu eklemek istedim:

Bir devlet kurumunda, kameralı bir cep telefonunu ofise getirmesine izin verilmeyen bir işi olan bir arkadaşım var. Genelde, "Kameralı bir cep telefonuna sahip olma iznim yok" diye yazıyor çünkü iyi. Cep telefonunu yanına alamazsa neden bir tane olsun? Kameraları olmayan cep telefonlarını bulmakta zorlanıyor .

Bu sorunu idari faşizm ile "çözecek" diğer yüksek güvenlikli yerler için çalıştım :

• Kişisel e-postanıza iş istasyonunuzdan erişmenin resmi bir ateşleme suçudur.
• Bir bulut servisine iş istasyonunuzdan erişmenin resmi bir ateşleme suçudur.
• Bir iş istasyonuna başparmak sürücü, ipod veya cep telefonu takmanın resmi bir ilkesi ateş yakmaktır.
• Sosyal medyaya iş istasyonunuzdan erişmenin resmi bir ateşleme suçudur.
• İş istasyonunuza yetkisiz yazılım yüklemenin resmi bir politikadır.
• Kişisel çevrimiçi bankacılığa iş istasyonunuzdan erişmenin resmi bir ateşleme suçudur.
• Bu sitelerin çoğunu / çoğunu engelleyen epik bir şirket güvenlik duvarı / proxy'si. Örneğin, facebook.com sitesine erişmeye çalıştığınız herhangi bir girişim, "Bu site ETRM tarafından engellendi" ekranını gösteriyor. Bazen “Taşma” gibi Stack Overflow gibi şeyleri de engellediler.
• Bazı "suçlar", ekibinize gönderilen ve yetkisiz bir siteye girdiğinizi belirten bir e-postaya değer veriyor (bu sefer ateş etmek yerine ...). ("Katherine Villyard, http://icanhas.cheezburger.com/ adresine 3:21 de erişildi !")
• Tüm yeni işe alımların bu kuralları açıklayan "güvenlik politikası" dersi almaya zorlamak ve insanları bu kurallar üzerine düzenli olarak tazeleme kursları almaya zorlamak. Ve sonra üzerlerine bir sınav almak ve geçmek.

İdari Faşizme dayanan yerler genellikle benim tecrübelerime dayanarak teknik kuralları kullanarak bu kuralları yedeklemek için yalnızca el koyma girişiminde bulunur. Örneğin, bir parmak sürücü taktığınızda sizi kovacaklarını söylüyorlar, ancak USB'yi devre dışı bırakmıyorlar. Facebook’u http üzerinden, https üzerinden engellemiyorlar. Ümitsiz N00b'nin de belirttiği gibi, bilgili kullanıcılar bunu biliyor ve alay ediyor.

Aslında, iç ağınızın aynı zamanda İnternete de maruz kalmasını beklememeniz koşuluyla basit bir çözüm var.

Bilgisayarlarınızın internete erişmeleri tamamen engellenmelidir. Tüm USB bağlantı noktaları engellendi vb.

İnternete girmek için, insanların daha sonra farklı bir ağa bağlı farklı bir bilgisayar kullanması veya RDP üzerinden İnternet erişimi olan bir Terminal Sunucusu'na bağlanması gerekir. Panoyu RDP üzerinden devre dışı bıraktınız ve hiçbir pencereyi paylaşmadınız Bu şekilde, kullanıcılar dosyaları İnternet Terminal Sunucularına kopyalayamaz ve bu nedenle dosya gönderemezler.

Bu, dahili bilgisayarlarda e-postaya izin verirseniz, e-postayı bırakır ... bu, buradaki en büyük boşluğunuzdur.

Eski şakayı biliyorsunuz ki, siz ve bir buçukluk öfkeli bir ejderha tarafından kovalanırsa, ejderhadan daha hızlı koşmanız gerekmez, sadece buçukluktan daha hızlı olmanız gerekir. Kötü niyetli olmayan kullanıcılar * olduğunu varsayarsak, genel buluta erişimlerini kısıtlamak zorunda değilsiniz, genel bulutun kullanılabilirliğini masaüstüne bağlı olmayan veri erişimi için sahip olduğunuz her türlü girişimsel çözümün kullanılabilirliğinden daha düşük yapmak yeterlidir. . Düzgün bir şekilde uygulandığında, bu, kötü amaçlı olmayan sızıntı riskini keskin bir şekilde azaltır ve maliyetin bir kısmıyla yapılabilir.

Çoğu durumda, basit bir kara liste yeterlidir. Google sürücüsünü, Dropbox'ı ve Apple bulutunu üzerine yerleştirin. Ayrıca Amazon AWS'ye gelen trafiği de engelleyin - yine başka bir bulut hizmeti oluşturan bu yeni başlangıçların çoğu kendi veri merkezlerini oluşturmaz. Genel buluta nasıl girileceğini bilen çalışan sayısını% 90'dan% 15'e düşürdünüz (çok kaba sayılar, sektörlere göre farklılık gösterecektir). Genel bulutların neden yasaklandığını açıklamak için uygun bir hata mesajı kullanın, bu da sansür kazandırma izlenimlerini azaltacaktır (ne yazık ki, her zaman anlamak istemeyen kullanıcılar olacaktır).

Kalan% 15 ise kara listede olmayan sağlayıcılara ulaşabiliyor, ancak büyük olasılıkla bunu yapmak için uğraşmıyorlar. Google’ın kullandığı sürücü ve co, güçlü pozitif ağ etkilerine (teknik tür değil ekonomik tür) tabidir. Herkes aynı 2-3 servisi kullanıyor, bu yüzden her yere yerleştiriliyorlar. Kullanıcılar bu hizmetleri içeren uygun, düzenli iş akışları oluşturur. Alternatif bulut sağlayıcı bu tür bir iş akışına entegre edilemezse, kullanıcıların onu kullanmaya teşvikleri yoktur. Ve umarım, dosyaları merkezi bir yerde depolamak, kampus dışındaki fiziksel bir yerden erişilebilen (güvenlik gerekirse VPN ile) merkezi bir yerde saklamak gibi bir bulutun en temel kullanımı için kurumsal bir çözüme sahip olursunuz.

Bu çözüme iyi bir ölçüm ve analitik ekleyin. (Bu her zaman kullanıcıların endişe duyduğu yerde gereklidir). Özellikle şüpheli modeller sergiliyorsa (aynı alana yönelik belgelerin yüklenebilmesi için yeterince büyük veri akışlarında trafik akışı) trafik örneklerini alın. Tanımlanmış şüpheli alanlara bir göz atın ve bunun bir bulut sağlayıcı olduğunu tespit ederseniz, bunun nedenini öğreninkullanıcılar kullanıyor, eşit kullanılabilirliğe sahip bir alternatif sunma hakkında yönetim ile konuşun, rahatsız eden kullanıcıyı alternatif hakkında eğitin. Kurum kültürünüz, yakalanan kullanıcıları ilk defa disiplin önlemleri almadan nazikçe yeniden azaltmanıza izin verirse çok iyi olurdu - o zaman sizden özellikle zorlanmaya devam etmeyecekler, ve sapmaları kolayca yakalayabilecek ve durumla başa çıkabileceksiniz. güvenlik riskini azaltan ancak yine de kullanıcının işini verimli bir şekilde yapmasına izin verecek şekilde.

Makul bir yönetici ** bu kara listenin verimlilik kaybına yol açacağını anlayacaktır. Kullanıcıların genel bulutu kullanmak için bir nedeni vardı - üretken olmaya teşvik edildiler ve uygun iş akışı üretkenliklerini artırdı (ücretli fazla mesai süresi dahil olmak üzere). Verimlilik kaybı ve güvenlik riskleri arasındaki ticareti değerlendirmek ve durumun olduğu gibi olmasına izin vermek, kara listeyi uygulamak veya gizli hizmete uygun önlemleri almak için istekli olup olmadıklarını size söylemek bir yöneticinin işidir. Ciddi derecede uygunsuz ve hala% 100 güvenlik sağlama).

[*] İşi güvenliği olan kişilerin önce suçlu niyetini düşündüğünü biliyorum. Ve gerçekten, kararlı bir suçluyu durdurmak çok daha zordur ve kötü niyetli olmayan bir kullanıcıdan çok daha fazla zarar verebilir. Ancak gerçekte, sızan birkaç örgüt var. Güvenlik sorunlarının çoğu, eylemlerinin sonuçlarını anlamayan iyi niyetli kullanıcıların saçma sapanlığı ile ilgilidir. Ve birçoğu olduğu için, ortaya koydukları tehdit, en tehlikeli, ama daha nadir, casus kadar ciddiye alınmalıdır.

[**] Patronlarınız bu talebi zaten yaptıysa, şanslarının makul tip olmadıklarının farkındayım. Makul ama sadece yanlış yönlendirilmişlerse, bu harika. Eğer mantıksız ve inatçılarsa, bu talihsiz bir durumdur, ancak onlarla pazarlık etmenin bir yolunu bulmalısınız. Böyle bir kısmi çözüm önermek, kabul etmeseniz bile, iyi bir stratejik hamle olabilir - doğru bir şekilde sunulduğunda, “kendi tarafında” olduğunuzu, endişelerini ciddiye aldığınızı ve araştırmaya hazır olduğunuzu gösterir. teknik olarak olanaksız gereksinimlere alternatifler için.

Yönetiminiz sizden Pandora'nın kutusunu kapatmanızı istiyor.

Prensip olarak, bilinen tüm olası mekanizmalar için herhangi bir belgenin yüklenmesini engelleyemezken, sıfır günlük kullanımların (veya size eşdeğer) kullanılmasını engelleyemezsiniz.

Bununla birlikte, hem kullanıcıyı hem de iş istasyonunu tanımlamak için kimliği doğrulayan bir güvenlik duvarı, istediğiniz ACL ile erişimi kısıtlamak için uygulanabilir. Süreci yönetmenize yardımcı olmak için diğer cevapların bazılarında açıklandığı şekilde bir itibar hizmeti ekleyebilirsiniz.

Asıl soru, bunun güvenlikle ilgili mi , yoksa kontrolle mi ilgili olduğunu sormak mı ? İlki buysa, yöneticilerinizin ödemeye hazır olduğu maliyet eşiğini anlamanız gerekir. İkinciyse, büyük istisnalar dışında muhtemelen görünürde büyük bir tiyatro, onları teslim ettiğinize ikna etmek için yeterli olacaktır.

BlueCoat Secure Web Gateway gibi bir içerik filtreleme cihazına veya servisine veya Palo Alto güvenlik duvarı gibi içerik filtreli bir güvenlik duvarına ihtiyacınız var. Bunun gibi ürünler, çevrimiçi depolama alanı içeren geniş kategori filtrelerine sahiptir.

BlueCoat, dizüstü bilgisayar kullanıcılarınızı bilgisayarlarında yerel olarak çalışan bir proxy hizmetine bağlanmaya zorlayabilen, ancak içerik filtreleme kurallarını merkezi bir kaynaktan alan bulut tabanlı bir hizmet de sunar.

• kara liste

Kullanıcıların erişemediği sitelerin bir listesini oluşturun.

Pro: Belirli bir servisi engelle.

Eksileri: Büyük bir liste, bazen sistemin güvenlik duvarının performansını incitebilir (genellikle yapar!). Bazen atlanabilir.

• Beyaz Liste

Kara listedeki sitelerin büyük bir listesine güvenmek yerine, bazı şirketler kullanıcıların yalnızca beyaz listeye erişebilecekleri bir beyaz liste kullanır.

Pro: yönetimi kolay.

Eksileri: verimliliği incitiyor.

• Gönderilen bilgilerin boyutunu engelleyin (POST / GET).

Bazı güvenlik duvarı, bilgilerin gönderilmesini engelleyerek bazı dosyaların gönderilmesini imkansız hale getirir.

Pro: Yönetimi kolay.

Eksileri: bazı kullanıcılar dosyaları küçük parçalar halinde göndererek atlayabilir. Bazı web sitelerini kırabilir, örneğin bazı Java ve Visual Studio winforms siteleri düzenli olarak çok fazla bilgi gönderir.

• HTTP olmayan bağlantıları engelleyin.

Pro: yapılandırması kolay.

Eksileri: mevcut sistemleri kırabilir.

Tecrübelerime göre bir banka için çalıştım. Yöneticiler usb sürücüye erişimi engelledi ve bazı sınırlı sitelere erişim sağladı (kara liste). Ancak ücretsiz bir web barındırmada bir php dosyası oluşturdum ve dosyalarımı sorunsuzca yükleyebilirim (normal bir web sitesi kullanarak). Bunu yapmak için 5 dakika sürdü.

Bazı yorumlara katılıyorum, insan kaynakları kurallarını kullanmak daha kolay ve daha etkili.