Прежде всего, позвольте мне заявить, что это не моя идея, и я не хочу обсуждать, разумно ли такое действие.
Однако есть ли способ предотвратить доступ сотрудников к публичным облачным сервисам для компании? В частности, они не должны иметь возможность загружать файлы в любое место в Интернете.
Блокировка HTTPS может быть первым простым, но очень радикальным решением. Использование черного списка IP-адресов тоже было бы недостаточно. Наверное, нужно какое-то программное обеспечение для фильтрации трафика на уровне контента. Прокси-сервер может быть полезен для фильтрации трафика HTTPS.
Пока что это мои мысли. Что вы думаете? Любые идеи?
В основном у вас есть три варианта.
Это не ваша идея, но, как правило, если вы сообщите руководству о ловушках и расходах, связанных с внедрением такого решения, они будут более открыты для лучших подходов.
Конечно, невозможно полностью заблокировать его, если только корпоративная сеть не будет отключена от Интернета.
если ты действительно хочу что-то, что должно работать большинство время пока в основном прозрачный вам нужно глубоко проанализировать пакеты. Настройте прокси-сервер SSL / TLS типа «злоумышленник в середине», а также прокси-сервер для незашифрованного обмена данными и заблокируйте весь трафик, который не проходит через один из них.
Как видите, это масштабное и болезненное мероприятие. Это тоже далеко не неуязвимо: Я думаю о нескольких обходных путях, даже когда пишу это, некоторые из которых не могут быть обработаны без фундаментального разрушения веб-соединений ваших пользователей, и, вероятно, будут комментарии, показывающие гораздо больше, о чем я не думал. Но это должно позволить большинство проходящий трафик, при этом отфильтровывая самые простые способы избежать загрузки файлов.
Суть в том, что это больше хлопот, чем того стоит.
Лучшим ответом было бы вступить в своего рода переговоры с начальством: выяснить, что они действительно хотят (вероятно, либо защиты коммерческой тайны, либо предотвращения ответственности) и укажите, почему эти неработающие технические меры не принесут им того, чего они хотят. Тогда вы сможете найти решения их проблем, не требующие неработающих технологических мер.
Не беспокойтесь об идеологии в этих обсуждениях: все, что вам нужно сделать, это сосредоточиться на том, что сработает, а что нет.. Там вы найдете все необходимые аргументы, и хотя это, несомненно, расстроит и вас, и вашего начальства, оно позволяет избежать вынесения оценочных суждений в их адрес (что может быть заслуженным, но приведет только к срыву переговоров, а это плохо ).
Что сказал HopelessN00b. Я просто хотел добавить это:
У меня есть подруга, которая работает в правительственном учреждении, и ей не разрешают приносить в офис мобильный телефон с камерой. Обычно она говорит так: «Мне не разрешено иметь мобильный телефон с камерой», потому что ... ну. Если она не может взять с собой свой сотовый, зачем покупать его? У нее проблемы с поиском мобильных телефонов, не есть камеры.
Я работал в других местах с высоким уровнем безопасности, которые "решали" эту проблему с помощью административный фашизм:
По моему опыту, места, которые полагаются на административный фашизм, обычно делают лишь поверхностные попытки поддержать эти правила техническими средствами. Например, они говорят, что вас уволят, если вы подключите флэш-накопитель, но они не отключают USB. Они блокируют Facebook через http, но не через https. И, как отмечает HopelessN00b, опытные пользователи знают это и издеваются над этим.
На самом деле есть простое решение, если вы не ожидаете, что ваша внутренняя сеть одновременно будет подключена к Интернету.
Просто необходимо полностью заблокировать доступ ваших компьютеров в Интернет. Все порты USB заблокированы и т. Д.
Чтобы выйти в Интернет, людям необходимо либо использовать другой компьютер, подключенный к другой сети, либо подключиться через RDP к серверу терминалов, имеющему доступ в Интернет. Вы отключаете буфер обмена по RDP и не используете общий доступ к Windows. Таким образом, пользователи не могут копировать файлы на терминальные серверы Интернета и, следовательно, не могут отправлять файлы.
Остается электронная почта ... это ваша самая большая лазейка, если вы разрешаете электронную почту на внутренних компьютерах.
Вы знаете старую шутку о том, что если вас и халфлинга преследует сердитый дракон, вам не нужно бежать быстрее дракона, вам нужно только быть быстрее халфлинга? Предполагая, что пользователи не являются злоумышленниками *, вам не нужно ограничивать их доступ к общедоступному облаку, достаточно сделать удобство использования общедоступного облака ниже, чем удобство использования любого корпоративного решения, которое у вас есть для доступа к данным без привязки к рабочему столу. . При правильной реализации это резко снизит риск утечек, не связанных со злонамеренными действиями, и это выполнимо за небольшую часть стоимости.
В большинстве случаев достаточно простого черного списка. Поместите на него гугл диск, Dropbox и облако Apple. Также заблокируйте трафик к Amazon AWS - большинство этих горячих стартапов, создающих еще один облачный сервис, не создают собственный центр обработки данных. Вы только что сократили количество сотрудников, которые знают, как попасть в публичное облако, с 90% до 15% (очень приблизительные цифры, будут отличаться в зависимости от отрасли). Используйте подходящее сообщение об ошибке, чтобы объяснить, почему публичные облака запрещены, что уменьшит их впечатление о бессмысленной цензуре (к сожалению, всегда будут пользователи, не желающие понимать).
Остальные 15% по-прежнему могут связаться с поставщиками, не внесенными в черный список, но они, вероятно, не станут это делать. Google drive и co подвержены сильному положительному сетевому эффекту (экономическому, а не техническому). Все используют одни и те же 2-3 сервиса, поэтому они встроены везде. Пользователи создают удобные, оптимизированные рабочие процессы, включающие эти службы. Если альтернативный поставщик облачных услуг не может быть интегрирован в такой рабочий процесс, у пользователей нет стимула использовать его. И я надеюсь, что у вас есть корпоративное решение для базового использования облака, такого как хранение файлов в центральном месте, доступном из физического места за пределами кампуса (с VPN, если требуется безопасность).
Добавьте к этому решению много измерений и аналитики. (Это всегда необходимо для пользователей). Возьмите образцы трафика, особенно если они демонстрируют подозрительные шаблоны (восходящий трафик в пакетах, достаточно больших для загрузки документов, направленных в тот же домен). Взгляните на выявленные подозрительные домены и, если вы обнаружите, что это облачный провайдер, узнайте Зачем пользователи используют его, поговорите с руководством о предоставлении альтернативы с равным удобством использования, расскажите об альтернативе обидчику. Было бы замечательно, если бы ваша корпоративная культура позволяла мягко перевоспитывать пойманных пользователей без применения дисциплинарных мер с первого раза - тогда они не будут особо от вас прятаться, а вы сможете легко уловить отклонения и справиться с ситуацией. таким образом, который снижает риск безопасности, но при этом позволяет пользователю эффективно выполнять свою работу.
Разумный менеджер ** поймет, что этот черный список приведет к потере производительности. У пользователей была причина использовать общедоступное облако - они заинтересованы в продуктивности, а удобный рабочий процесс повысил их производительность (включая количество неоплачиваемых сверхурочных, которые они готовы делать). Работа менеджера состоит в том, чтобы оценить компромисс между потерей производительности и рисками безопасности и сообщить вам, готовы ли они оставить ситуацию как есть, ввести черный список или пойти на меры, достойные секретных служб (которые крайне неудобно и до сих пор не обеспечивает 100% безопасность).
[*] Я знаю, что люди, чья работа связана с безопасностью, в первую очередь думают о преступном умысле. И действительно, решительного преступника гораздо труднее остановить и он может нанести гораздо больший ущерб, чем не злонамеренный пользователь. Но на самом деле существует несколько организаций, в которые проникают. Большинство проблем с безопасностью связано с глупостью пользователей из лучших побуждений, которые не осознают последствий своих действий. А поскольку их так много, к угрозе, которую они представляют, следует относиться так же серьезно, как и к более опасным, но гораздо более редким шпионам.
[**] Я знаю, что если ваши боссы уже выдвинули такое требование, скорее всего, они не из разумных людей. Если они разумны, но просто ошибочны, это прекрасно. Если они неразумны и упрямы, это прискорбно, но вы должны найти способ договориться с ними. Предложение такого частичного решения, даже если вы не можете заставить их принять его, может быть хорошим стратегическим шагом - правильно представленное, оно показывает им, что вы «на их стороне», серьезно относитесь к их опасениям и готовы искать для альтернатив технически невыполнимым требованиям.
Ваше руководство просит вас закрыть ящик Пандоры.
Хотя в принципе вы можете предотвратить загрузку любой документации для всех известных возможных механизмов, вы не сможете предотвратить использование эксплойтов нулевого дня (или их эквивалента).
Тем не менее, аутентифицирующий брандмауэр для идентификации пользователя и рабочей станции может быть реализован для ограничения доступа с помощью ACL по вашему желанию. Вы можете включить службу репутации, как описано в некоторых других ответах, чтобы помочь вам управлять процессом.
Настоящий вопрос заключается в том, чтобы спросить, действительно ли это о безопасности, или это о контроле? Если это первое, то вам необходимо понимать порог затрат, который ваши менеджеры готовы платить. Если это второе, то, вероятно, будет достаточно большого видимого театра, чтобы убедить их, что вы поставили, за небольшими исключениями.
Вам понадобится устройство или служба фильтрации содержимого, например, BlueCoat Secure Web Gateway, или брандмауэр с фильтрацией содержимого, например брандмауэр Palo Alto. Такие продукты имеют широкие фильтры категорий, включая онлайн-хранилище.
BlueCoat даже предлагает облачный сервис, в котором вы можете заставить пользователей своих портативных компьютеров подключаться через прокси-сервис, который работает локально на их компьютере, но принимает правила фильтрации контента из центрального источника.
Создайте список сайтов, к которым у пользователей нет доступа.
Pro: заблокировать конкретную услугу.
Минусы: большой список, иногда это может снизить производительность брандмауэра системы (обычно это так!). Иногда его можно было обойти.
Вместо того, чтобы полагаться на большой список сайтов из черного списка, некоторые компании используют белый список, в котором пользователи могут получить доступ только к сайтам из белого списка.
Плюсы: легко управлять.
Минусы: вредит производительности.
Некоторые брандмауэры позволяют блокировать размер отправляемой информации, делая невозможной отправку некоторых файлов.
Плюс: легко управлять.
Минусы: некоторые пользователи могут обойти это, отправляя файлы небольшими порциями. Это может привести к поломке некоторых веб-сайтов, например, некоторые сайты winforms на Java и Visual Studio регулярно отправляют много информации.
Плюсы: легко настроить.
Минусы: это может сломать существующие системы.
По моему опыту, я работал в банке. Администраторы заблокировали доступ к USB-накопителю и доступ к некоторым запрещенным сайтам (черный список). Однако я создал php-файл на бесплатном веб-хостинге и могу без проблем загружать свои файлы (используя обычный веб-сайт). На это у меня ушло 5 минут.
Я согласен с некоторыми комментариями, проще и эффективнее использовать правила управления персоналом.