Blocca l'accesso dei dipendenti al cloud pubblico


29

Prima di tutto, lasciatemi dire che questa non è una mia idea e non voglio discutere se tale azione sia ragionevole.

Tuttavia, per un'azienda esiste un modo per impedire ai dipendenti di accedere ai servizi cloud pubblici? In particolare, non dovrebbero essere in grado di caricare file in alcun luogo sul Web.

Il blocco di HTTPS potrebbe essere una prima soluzione semplice ma molto radicale. Anche l'uso di una lista nera di indirizzi IP non sarebbe sufficiente. Probabilmente, è necessario un tipo di software per filtrare il traffico a livello di contenuto. Un proxy potrebbe essere utile per poter filtrare il traffico HTTPS.

Le tesi sono i miei pensieri finora. Cosa pensi? Qualche idea?


2
Uno dei nostri clienti (facciamo altre cose per loro) tunnel tutto il traffico attraverso un proxy che viene osservato da bluecoat.com Molti siti (archiviazione di file, giochi, hacking, media ...) sono bloccati. Lo odio davvero ...
Reeno,

45
Capisco perché dici che non vuoi discuterne, ma che pattina su una delle parti più grandi della descrizione del lavoro di un buon amministratore di sistema: dire la verità al potere. A volte, un'idea è prima facie stupida; altre volte, non è una cattiva idea, ma è un'idea sociale / commerciale, e non più adatta a una soluzione tecnica. In entrambi i casi, l'unica cosa corretta da fare per un amministratore di sistema è voltarsi e dire " no ".
MadHatter supporta Monica il

4
@MadHatter Tuttavia, a parte questa intuizione iniziale che condividiamo, provo almeno a presentare ciò che sarebbe tecnicamente possibile. A parte questo, sono d'accordo.
Marsze

8
Non sono queste le politiche gestionali e di uso accettabile?
user9517 supporta GoFundMonica il

6
possibile: i loro computer non sono mai connessi a Internet, non sono ammesse telecamere (cellulare incluso, ovviamente) o dispositivi di registrazione (come una penna) in ufficio, in ufficio che non ha finestre che si possano aprire o vedere. Inoltre, ogni volta che escono dall'ufficio, i tuoi utenti devono essere completamente cercati e cancellati dalla memoria, altrimenti potrebbero memorizzare qualcosa e metterlo su Internet in un secondo momento!
njzk2,

Risposte:


71

Fondamentalmente hai tre opzioni qui.

1. Disconnetti il ​​tuo ufficio / utenti da Internet

  • Se non riescono ad accedere al "cloud pubblico", non possono caricare nulla su di esso.

2. Compila una lista nera di servizi specifici di cui sei preoccupato per l'accesso degli utenti.

  • Questo sarà assolutamente massiccio se è pensato per essere efficace anche a distanza.
    • Gli utenti esperti di tecnologia saranno sempre in grado di trovare un modo per aggirarlo: posso collegarmi al mio computer da qualsiasi parte del mondo con una connessione Internet, quindi ... buona fortuna bloccandomi, ad esempio.

3. Fai qualcosa di più ragionevole / riconosci i limiti della tecnologia.

  • Questa non è una tua idea, ma in generale, se fornisci al management le insidie ​​e le spese per l'implementazione di una soluzione come questa, saranno più aperti a approcci migliori.

    • A volte questa è una cosa di conformità, o "solo per le apparenze", e sono felici di bloccare solo i servizi più popolari
    • A volte non capiscono davvero quanto sia folle la loro richiesta e hanno bisogno che tu gli dica in termini che possono capire.
      • Avevo un cliente una volta, mentre lavoravo per un fornitore di sicurezza informatica, che voleva che fornissimo un modo per impedire ai dipendenti di perdere informazioni riservate con il nostro agente AV. Ho tirato fuori il mio smartphone, ho fatto una foto al mio schermo e gli ho chiesto come avrebbe potuto impedirlo, o addirittura scrivere le informazioni su un pezzo di carta.
      • Usa le notizie e gli eventi recenti nella tua spiegazione: se l'esercito non riusciva a fermare Manning e l'NSA non poteva fermare Snowden, cosa ti fa pensare che possiamo farlo e quanti soldi pensi che anche solo provare costerà?

11
Buona risposta. In realtà la richiesta non può essere gestita con un valore esterno di 2.a - utilizzando un ELENCO BIANCO. E poi assumendo persone per gestirlo;) Perché l'uomo, ci vorrà molto lavoro. Forse meno di una lista nera però. E non raggiungere ancora nulla (bella idea con lo smartphone). Richiesta surreale.
TomTom,

1
@TomTom Sì, ho pensato alla lista bianca, ma ovunque abbia mai visto, la lista bianca delle parti di Internet a cui vogliono accedere è molto più grande della lista nera dei servizi di cui hanno irrazionalmente paura / non vogliono i dipendenti accesso.
HopelessN00b,

1
Penso che dipenda. Ad esempio, nella mia azienda, la whitelist potrebbe essere solo di 300 articoli. Richiesto per affari. Una lista nera inizierà a gestire tutto. In cima, la lista bianca che vinci (sempre valida, inizia con 0 voci) - la lista nera che non sai nemmeno da dove cominciare. Ma in generale, quelli sono tentativi inutili.
TomTom,

3
IMHO, bloccare i 10 siti più ovvi probabilmente raggiungerebbe il 95% di ciò che la gestione sta cercando. A nessuno importa dei pochi secchioni che si gettano nel tunnel attorno all'isolato.
Steve Bennett,

3
@SteveBennett Anche se questo è probabilmente vero, non è sicuro supporre che al management non importi del 5% e / o delle persone che possono e aggirano il sistema. Se le risorse tecniche non consentono alla direzione di conoscere le limitazioni del sistema, saranno le risorse tecniche a girare la testa quando qualcuno caricherà tutto l'IP dell'azienda su BitTorrent (o qualunque incidente riporti questo problema all'attenzione della direzione).
HopelessN00b,

30

Non c'è modo di bloccarlo completamente, ovviamente, a meno che la rete aziendale non fosse disconnessa da Internet.

Se vuoi davvero qualcosa che dovrebbe funzionare la maggior parte del tempo pur essendo per lo più trasparente, dovrai sniffare i pacchetti . Configurare un proxy SSL / TLS man-in-the-middle, nonché uno per la comunicazione non crittografata e bloccare tutto il traffico che non passa attraverso uno di questi.

  • Blocca richieste PUT HTTP
  • Blocca tutte le richieste POST HTTP in cui il tipo di contenuto non è application / x-www-form-urlencoded o multipart / form-data
  • Per le richieste HTTP POST di tipo multipart / form-data, eliminare i campi con una disposizione del contenuto di "file" (ma lasciare passare altri campi).
  • Blocca il traffico FTP, BitTorrent e SMTP
  • Blocca tutto il traffico verso i principali servizi di Webmail e verso i principali siti di archiviazione di file pubblici.

Come puoi vedere, questa è un'impresa enorme e dolorosa. È anche lungi dall'essere invulnerabile : sto pensando a diverse soluzioni alternative anche mentre scrivo questo, alcune delle quali non possono essere gestite senza fondamentalmente interrompere le connessioni Web dei tuoi utenti e probabilmente ci saranno commenti che mostrano molti altri che non ho pensa a. Ma dovrebbe consentire la maggior parte del traffico, filtrando i modi più semplici per eliminare il caricamento dei file.

La linea di fondo è che questo è più un problema di quanto valga la pena.

La migliore risposta sarebbe quella di entrare in una sorta di negoziazione con i tuoi capi: scopri cosa vogliono veramente (probabilmente protezione dei segreti commerciali o prevenzione della responsabilità) e sottolinea perché queste misure tecnologiche impraticabili non ottengono loro ciò che vogliono. Quindi è possibile elaborare soluzioni ai loro problemi che non comportano misure tecnologiche impraticabili.

Non preoccuparti dell'ideologia in queste discussioni: tutto ciò che devi fare è concentrarti su cosa funzionerà e cosa no . Troverai tutti gli argomenti di cui hai bisogno lì, e sebbene questo possa senza dubbio frustrare sia te che i tuoi capi, evita di esprimere giudizi di valore contro di loro (che potrebbero essere meritati, ma causeranno solo l'interruzione dei colloqui, e questo è male ).


4
+1 per dare alcuni utili suggerimenti di implementazione e anche per presentare un punto di vista su questo problema da una prospettiva più ampia!
Marsze

26

Cosa ha detto HopelessN00b. Volevo solo aggiungere che:

Ho un amico con un lavoro presso un'agenzia governativa in cui non le è permesso portare un cellulare con una macchina fotografica in ufficio. Di solito dice che "Non mi è permesso possedere un cellulare con una macchina fotografica", perché, beh. Se non riesce a portare la sua cella con sé, perché possederne una? Ha difficoltà a trovare telefoni che non dispongono di fotocamere.

Ho lavorato per altri luoghi di alta sicurezza che "risolverebbero" questo problema tramite il fascismo amministrativo :

  • Una politica ufficiale secondo cui l'accesso alla tua e-mail personale dalla tua postazione di lavoro è un reato di licenziamento.
  • Una politica ufficiale secondo cui l'accesso a un servizio cloud dalla workstation è un reato di licenziamento.
  • Una politica ufficiale che collega una chiavetta USB, un iPod o un telefono cellulare a una workstation è un reato di licenziamento.
  • Una politica ufficiale secondo cui l'accesso ai social media dalla propria postazione di lavoro è un reato di licenziamento.
  • Una politica ufficiale prevede che l'installazione di software non autorizzato sulla workstation sia un reato di licenziamento.
  • Una politica ufficiale secondo cui l'accesso al proprio online banking dalla propria postazione di lavoro è un reato di licenziamento.
  • Un firewall / proxy aziendale epico che ha bloccato molti / la maggior parte di quei siti. Qualsiasi tentativo di accedere a facebook.com, ad esempio, richiede una schermata di "Questo sito bloccato da ETRM". Occasionalmente bloccavano cose come Stack Overflow anche come "hacking".
  • Alcuni "reati" meritano una e-mail inviata a tutto il team in cui si afferma che si accede a un sito non autorizzato (invece di sparare ... questa volta). ("Katherine Villyard ha effettuato l'accesso a http://icanhas.cheezburger.com/ alle 15:21!")
  • Forzare tutti i nuovi assunti a prendere la classe di "politica di sicurezza" che spiega queste regole e costringere le persone a frequentare regolarmente corsi di aggiornamento su queste regole. E poi prendi e passa un quiz su di loro.

I luoghi che si basano sul fascismo amministrativo generalmente fanno solo tentativi rapidi di sostenere queste regole con mezzi tecnici, nella mia esperienza. Ad esempio, dicono che ti licenzieranno se colleghi una chiavetta USB, ma non disabilitano l'USB. Bloccano Facebook tramite http ma non tramite https. E, come sottolineato da HopelessN00b, gli utenti esperti lo sanno e lo deridono.


2
In realtà ci sono soluzioni tecniche sulle quali puoi fare affidamento per disabilitare i dispositivi USB (ogni agente AV che vedo da anni può farlo in modo abbastanza efficace) o bloccare l'accesso ad [alcune] categorie di siti Web ben definite. Il problema per l'OP è che il "cloud pubblico" / "luoghi in cui gli utenti possono caricare i dati" non è una categoria ben definita (e non lo sarà in qualsiasi momento presto), quindi non può nemmeno suggerire un webfilter come soluzione al problema ... dovrà creare una lista nera personalizzata o convice management per vedere la ragione.
HopelessN00b,

Lo so e sono d'accordo. Certamente non ho presentato quell'elenco per approvarlo come un corso di azione. :)
Katherine Villyard,

9
Tecnicamente il cloud pubblico include ogni hoster in quanto è banale affittare un sito Web e inserire lì un file per caricare file. Ahia. Problema non risolvibile.
TomTom,

Per molti anni, ai dipendenti sul posto di lavoro di mio padre non è stato permesso di trasportare telefoni con una macchina fotografica in ufficio. Alla fine, la società è passata a una politica di consentire telefoni aziendali (more all'epoca, iPhone ora), ma non telefoni personali.
Brian S,

Molti smartphone utilizzano una fotocamera modulare che può essere rimossa con un piccolo sforzo. Non è qualcosa che vorresti fare ripetutamente in quanto potrebbe richiedere strumenti strani per essere sicuri, ma consentirebbe l'uso di un portatile contemporaneo, utile, in un'area riservata.
Pekka,

19

In realtà, esiste una soluzione semplice a condizione che non ci si aspetti che anche la propria rete interna sia esposta a Internet contemporaneamente.

I tuoi PC devono semplicemente essere completamente bloccati dall'accesso a Internet. Tutte le porte USB bloccate, ecc.

Per accedere a Internet, le persone devono quindi utilizzare un computer diverso, connesso a una rete diversa, oppure connettersi tramite RDP a un Terminal Server con accesso a Internet. Disabiliti gli appunti su RDP e nessuna condivisione di Windows. In questo modo, gli utenti non possono copiare file su Internet Terminal Server e quindi non possono inviare file.

Questo lascia l'e-mail ... questa è la tua più grande scappatoia se permetti l'e-mail sui PC interni.


3
Sembra semplice, ma purtroppo questa è la verità. Praticamente l'unico modo per risolverlo.
TomTom,

2
Abbiamo questa soluzione (Internet ed e-mail solo tramite Terminal Server) già in atto per parti della nostra azienda. Tuttavia, per gli sviluppatori di software, non avere alcun accesso a Internet sarebbe ovviamente molto problematico ...
Marsze

@marsze - L'ho visto risolto con un proxy whitelist in cui le poche cose di cui i programmatori hanno bisogno direttamente sulla loro scatola (come il repository Maven) sono consentite tramite proxy.
ETL

1
Ciò lascia una penna e un foglio, o semplicemente memoria.
njzk2,

1
@marsze Ho lavorato in un'azienda con reti separate che lo ha fatto dando agli sviluppatori due macchine. Uno robusto per fare il lavoro di sviluppo, collegato alla rete di solo accesso interno e un altro (thin client o vecchia scatola di clunker) che era collegato a una rete che aveva accesso a Internet. Una soluzione efficace, anche se semplicistica e più costosa.
HopelessN00b,

5

Sai quella vecchia battuta che, se tu e un halfling sei inseguito da un drago arrabbiato, non devi correre più veloce del drago, devi solo essere più veloce del halfling? Supponendo che gli utenti non malintenzionati * non debbano limitare il loro accesso al cloud pubblico, è sufficiente ridurre l'usabilità del cloud pubblico rispetto all'usabilità di qualsiasi soluzione aziendale disponibile per l'accesso ai dati non-desk . Se implementato correttamente, ciò ridurrà drasticamente il rischio di perdite non dannose ed è fattibile con una frazione del costo.

Nella maggior parte dei casi, una semplice lista nera dovrebbe essere sufficiente. Metti Google drive, Dropbox e il cloud Apple su di esso. Blocca anche il traffico verso Amazon AWS: la maggior parte di queste hot startup che creano ancora un altro servizio cloud non crea il proprio data center. Hai appena ridotto il numero di dipendenti che sanno come entrare nel cloud pubblico dal 90% al 15% (numeri molto approssimativi, varieranno a seconda del settore). Usa un messaggio di errore adatto per spiegare perché i cloud pubblici sono vietati, il che ridurrà la loro impressione di censura sfrenata (purtroppo, ci saranno sempre utenti che non sono disposti a capire).

Il restante 15% può ancora raggiungere fornitori non inclusi nella lista nera, ma probabilmente non si preoccuperanno di farlo. Google Drive e altri sono soggetti a forti effetti di rete positivi (di tipo economico, non tecnico). Tutti usano gli stessi 2-3 servizi, quindi vengono integrati ovunque. Gli utenti creano flussi di lavoro convenienti e ottimizzati che includono questi servizi. Se il provider di cloud alternativo non può essere integrato in tale flusso di lavoro, gli utenti non hanno alcun incentivo a utilizzarlo. E spero che tu abbia una soluzione aziendale per l'utilizzo più basilare di un cloud come la memorizzazione di file in un luogo centrale, raggiungibile da una posizione fisica al di fuori del campus (con VPN se è necessaria la sicurezza).

Aggiungi a questa soluzione molte misurazioni e analisi. (Questo è sempre necessario per quanto riguarda gli utenti). Prelevare campioni di traffico, soprattutto se si presentano modelli sospetti (il traffico a monte di esplosioni abbastanza grande da essere caricato di documenti, diretto allo stesso dominio). Dai un'occhiata umana ai domini sospetti identificati e, se scopri che si tratta di un provider cloud, scopri perchégli utenti lo usano, parlano con il management per fornire un'alternativa con uguale usabilità, educare l'utente offensivo sull'alternativa. Sarebbe bello se la tua cultura aziendale ti consente di rieducare delicatamente gli utenti catturati senza implementare misure disciplinari le prime volte - quindi non cercheranno di nasconderti particolarmente duramente e sarai in grado di cogliere facilmente le deviazioni e affrontare la situazione in un modo che riduce il rischio per la sicurezza ma consente comunque all'utente di svolgere il proprio lavoro in modo efficiente.

Un manager ragionevole ** capirà che questa lista nera porterà a perdite di produttività. Gli utenti avevano un motivo per utilizzare il cloud pubblico: sono incentivati ​​a essere produttivi e il comodo flusso di lavoro ha aumentato la loro produttività (inclusa la quantità di straordinari non retribuiti che sono disposti a fare). È compito del manager valutare il compromesso tra perdita di produttività e rischi per la sicurezza e dirti se sono disposti a lasciare la situazione così com'è, implementare la lista nera o optare per misure degne di servizio segreto (che sono gravemente scomodo e ancora non fornisce sicurezza al 100%).


[*] So che le persone il cui lavoro è la sicurezza pensano innanzitutto all'intenzione criminale. E infatti, un determinato criminale è molto più difficile da fermare e può infliggere danni molto peggiori di un utente non malintenzionato. Ma in realtà, ci sono poche organizzazioni che vengono infiltrate. La maggior parte dei problemi di sicurezza sono legati alla sciocchezza degli utenti ben intenzionati che non si rendono conto delle conseguenze delle loro azioni. E poiché ce ne sono così tanti, la minaccia che rappresentano dovrebbe essere presa sul serio quanto la spia più pericolosa, ma molto più rara.

[**] Sono consapevole che, se i tuoi capi hanno già fatto questa richiesta, è probabile che non siano del tipo ragionevole. Se sono ragionevoli ma sbagliati, va benissimo. Se sono irragionevoli e testardi, questo è un peccato, ma devi trovare un modo per negoziare con loro. Offrire una soluzione così parziale, anche se non riesci a convincerli ad accettarlo, può essere una buona mossa strategica - presentata correttamente, mostra loro che sei "dalla loro parte", prendi sul serio le loro preoccupazioni e sei pronto a cercare per alternative a requisiti tecnicamente non fattibili.


4

La tua direzione ti sta chiedendo di chiudere la scatola di Pandora.

Sebbene in linea di principio sia possibile impedire il caricamento di tutta la documentazione per tutti i possibili meccanismi noti, non sarà possibile impedire l'utilizzo di exploit zero-day (o equivalenti a voi).

Detto questo, un firewall di autenticazione per identificare sia l'utente che la workstation, può essere implementato per limitare l'accesso con ACL desiderato. È possibile incorporare un servizio di reputazione come descritto in alcune delle altre risposte per facilitare la gestione del processo.

La vera domanda è chiedersi se si tratta di sicurezza o di controllo ? Se è il primo, è necessario comprendere la soglia di costo che i gestori sono disposti a pagare. Se è il secondo, probabilmente sarà sufficiente un grande teatro visibile per convincerli che hai recitato, con poche eccezioni.


3

È necessario un dispositivo o un servizio di filtro del contenuto, come BlueCoat Secure Web Gateway, o un firewall con filtro del contenuto, come un firewall Palo Alto. Prodotti come questo hanno filtri di categoria ampia che includono l'archiviazione online.

BlueCoat offre anche un servizio basato su cloud in cui è possibile forzare gli utenti dei laptop a connettersi tramite un servizio proxy che viene eseguito localmente sul proprio computer, ma accetta regole di filtro dei contenuti da una fonte centrale.


2
  • Lista nera

Crea un elenco di siti a cui gli utenti non possono accedere.

Pro: blocca un servizio specifico.

Contro: un grande elenco, a volte potrebbe danneggiare le prestazioni del firewall del sistema (di solito lo fa!). A volte potrebbe essere bypassato.

  • Lista bianca

Invece di fare affidamento su un grande elenco di siti nella lista nera, alcune aziende utilizzano una whitelist in cui gli utenti possono accedere solo ai siti autorizzati.

Pro: facile da gestire.

Contro: danneggia la produttività.

  • Blocca la dimensione dell'invio di informazioni (POST / GET).

Alcuni firewall consentono di bloccare la dimensione dell'invio delle informazioni, rendendo impossibile l'invio di alcuni file.

Pro: facile da gestire.

Contro: alcuni utenti potrebbero bypassarlo inviando file in piccoli blocchi. Potrebbe rompere alcuni siti Web, ad esempio alcuni siti di winforms di Java e Visual Studio inviano regolarmente molte informazioni.

  • Blocca connessioni non HTTP.

Pro: facile da configurare.

Contro: potrebbe rompere i sistemi attuali.

Nella mia esperienza, ho lavorato per una banca. Gli amministratori hanno bloccato l'accesso al driver USB e ad alcuni siti con restrizioni (lista nera). Tuttavia, ho creato un file php in un web hosting gratuito e posso caricare i miei file senza alcun problema (utilizzando un normale sito Web). Mi ci sono voluti 5 minuti per farlo.

Concordo con alcuni commenti, è facile e più efficace utilizzare le regole delle risorse umane.


Un'idea recente era un approccio combinato: una lista nera per HTTP, una lista bianca per HTTPS. Per quanto riguarda le altre soluzioni: sarà sempre necessario testare ciò che può essere implementato senza rompere i sistemi esistenti, perché differisce da caso a caso.
Marsze
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.