首先,让我指出这不是我的想法,我不想讨论这样的行动是否合理。
但是,对于一家公司,是否有办法阻止员工访问公共云服务? 尤其是,他们不应该能够上传文件到networking上的任何地方。
阻止HTTPS可能是第一个简单而又非常激进的解决scheme。 使用黑名单的IP地址也不够。 可能需要某种软件来过滤内容级别的stream量。 代理可能会有所帮助,以便能够过滤HTTPSstream量。
这是我迄今为止的想法。 你怎么看? 有任何想法吗?
你基本上有三个select。
这不是你的想法,但是一般来说,如果你为pipe理层提供这样的解决scheme的陷阱和费用,他们会更乐于接受更好的方法。
当然,除非企业networking与互联网断开,否则无法完全阻止它。
如果你真的想要大部分时间都能工作的东西,而且大部分是透明的, 那么你就需要深度嗅探数据包 。 build立一个中间人SSL / TLS代理,以及一个用于未encryption通信的代理,并阻止所有未经过其中的通信。
正如你所看到的,这是一个巨大而痛苦的事业。 这也远不是无懈可击的 :即使在我写这些时,我也想到了几个解决方法,其中一些不能从根本上打破用户的networking连接而被处理,而且可能会有更多的评论显示我没有考虑到。 但它应该让大部分stream量通过,而筛选出最简单的方法来消除file upload。
底线是,这是比它的价值更麻烦。
最好的答案是与老板进行一种谈判,找出他们真正想要的东西(可能是保护商业秘密或责任预防),并指出为什么这些不可行的技术措施不能达到他们想要的。 那么你可以找出解决scheme,解决他们不涉及不可行的技术措施的问题。
在这些讨论中不要担心意识形态:你所要做的就是关注什么会起作用,什么不起作用 。 你会在那里find你所需要的所有论点,而这无疑会使你和你的老板感到挫败,这避免了对他们传递价值的判断(这可能是应得的,但只会导致谈判失败,那就是坏的)。
HopelessN00b说什么。 我只是想补充一点:
我有一个朋友在一家政府机构工作,她不允许带手机带相机到办公室。 她通常会这样说:“我不能用相机拥有一部手机”,因为,好吧。 如果她不能带走她的手机,为什么要拥有她? 她很难find没有摄像头的手机。
我曾为其他高安全types的地方工作,通过行政法西斯主义 “解决”这个问题:
依靠行政法西斯主义的地方,通常只是粗略的尝试通过技术手段来支持这些规则。 例如,他们说,如果插入拇指驱动器,他们会解雇你,但他们不禁用USB。 他们通过http阻止Facebook,但不通过https。 而且,HopelessN00b指出,精明的用户知道并嘲笑这一点。
其实,有一个简单的解决scheme,只要你不希望你的内部networking同时暴露在互联网上。
您的电脑只需要完全阻止访问互联网。 所有USB端口被阻塞等
要上网,用户需要使用不同的计算机(连接到不同的networking),或者通过RDP连接到可上网的terminal服务器。 您通过RDP禁用剪贴板,并且没有窗口共享。 这样,用户不能将文件复制到Internetterminal服务器上,从而无法发送文件。
这留下了电子邮件……如果你允许在内部电脑上发送电子邮件,这是你最大的漏洞。
你知道那个老玩笑,如果你和一个半身人被一条愤怒的龙追赶,你不必比龙跑得更快,你只需要比半身人更快? 假设非恶意用户*,您不必限制他们对公共云的访问,那么使公有云的可用性低于任何企业解决scheme对于非桌面数据访问的可用性就足够了。 正确实施,这将大大降低非恶意泄漏的风险,而且可以用一小部分成本来实现。
在大多数情况下,一个简单的黑名单就足够了。 把谷歌驱动器,Dropbox和苹果云上。 同时阻止stream向亚马逊AWS的stream量 – 大多数构build另一个云服务的热门创业公司并不build立自己的数据中心。 您只是将知道如何进入公有云的员工从90%减less到15%(非常粗糙的数字,将因行业而有所不同)。 使用合适的错误信息来解释为什么禁止公开云,这将减less他们对肆意审查的印象(遗憾的是,总会有用户不愿意理解)。
剩下的15%仍然可以到达不在黑名单上的提供商,但他们可能不会去做。 Google的驱动器和公司受到强大的积极的networking效应(经济types,而不是技术types)。 每个人都使用相同的2-3个服务,所以他们到处都build。 用户构build方便,简化的工作stream程,其中包括这些服务。 如果另一个云提供商不能被整合到这样的工作stream程中,用户就没有动力去使用它。 我希望你有一个云的最基本用法的公司解决scheme,如存储在一个中心位置的文件,从校园外的物理位置(如果需要安全的话,用VPN)可以访问。
添加到这个解决scheme有很多测量和分析。 (这在用户所关心的地方总是需要的)。 以stream量为样本,尤其是在展示可疑模式时(上游stream量突然增大,足以将文档上传到相同的域)。 如果您发现这是一个云提供商,请查看用户使用它的原因,与pipe理层讨论如何提供具有同等可用性的替代scheme,并向违规用户提供有关替代scheme的教育。 如果您的企业文化允许您第一次轻松地对受到攻击的用户进行再教育而不实施惩戒措施 – 那么他们将不会试图对您隐瞒,而且您将很容易发现偏差并处理这种情况以降低安全风险的方式,但仍允许用户有效地工作。
一个合理的经理**会明白,这个黑名单将导致生产力的损失。 用户有理由使用公有云 – 他们被激励生产力,便捷的工作stream程提高了他们的生产力(包括他们愿意做的无偿加class的数量)。 评估生产力损失与安全风险之间的权衡是一种pipe理者的工作,并告诉你他们是否愿意让情况保持原状,实施黑名单,或者采取秘密服务的措施(这是严重不便,仍然不提供100%安全)。
[*]我知道那些工作安全的人首先想到犯罪意图。 事实上,一个有决心的罪犯比非恶意用户更难以制止,并且可能造成更大的损害。 但是实际上,渗透的组织并不多。 大多数安全问题都与没有意识到自己行为后果的善意用户的愚蠢有关。 而且由于其中有这么多,所以它们构成的威胁应该像更危险,但更稀有的间谍一样严肃对待。
[**]我知道,如果你的老板已经提出了这个要求,那么很有可能他们不是合理的types。 如果他们是合理的,但只是误导了,那很好。 如果他们不合理和固执,这是不幸的,但你必须find一个方法来与他们谈判。 提供这样一个部分的解决scheme,即使你不能接受它,也可能是一个很好的战略举措 – 适当的expression,表明你“站在他们的一边”,认真对待他们的关切,并准备search替代技术上不可行的要求。
你的pipe理层要求你closures潘多拉盒子。
尽pipe您原则上可以防止上传所有已知可能机制的文档,但您将无法防止使用零日漏洞(或等同于您)。
也就是说,一个authentication防火墙来识别用户和工作站,可以通过ACL来限制访问。 您可以按照某些其他答案中所述的方式合并声誉服务,以帮助您pipe理stream程。
真正的问题是问这是关于安全还是这是关于控制 ? 如果是第一个,那么你需要了解你的经理准备支付的成本门槛。 如果是第二个,那么可能是一个大的可见的剧场就足以说服他们已经交付,除了less数例外。
您需要内容过滤设备或服务(如BlueCoat安全Web网关)或带有内容过滤function的防火墙(例如Palo Alto防火墙)。 像这样的产品有广泛的类别filter,包括在线存储。
BlueCoat甚至提供基于云的服务,您可以强制笔记本电脑用户通过在其计算机上本地运行的代理服务进行连接,但需要从中央源获取内容过滤规则。
创build一个用户无法访问的网站列表。
临:阻止特定的服务。
缺点:一个大的列表,有时会损害系统防火墙的性能(通常是这样!)。 有时它可能被绕过。
一些公司没有依赖列入黑名单的网站列表,而是使用白名单,用户只能访问列入白名单的网站。
Pro:易于pipe理。
缺点:它伤害生产力。
有些防火墙允许阻塞信息发送的大小,不可能发送一些文件。
Pro:易于pipe理。
缺点:一些用户可以通过小块发送文件来绕过它。 它可能会打破一些网站,例如,一些Java和Visual Studio的winforms站点定期发送大量的信息。
Pro:易于configuration。
缺点:它可能打破目前的系统。
根据我的经验,我在一家银行工作。 pipe理员阻止访问usb driverand访问一些受限制的网站(黑名单)。 但是,我创build了一个免费的虚拟主机的PHP文件,我可以上传我的文件没有任何问题(使用常规网站)。 我花了5分钟来做到这一点。
我同意一些意见,使用人力资源规则是容易和更有效的。