Mitarbeiterzugriff auf öffentliche Cloud blockieren

Lassen Sie mich zunächst feststellen, dass dies nicht meine Idee ist und ich nicht diskutieren möchte, ob eine solche Maßnahme sinnvoll ist.

Gibt es jedoch für ein Unternehmen eine Möglichkeit, Mitarbeiter daran zu hindern, auf öffentliche Cloud-Dienste zuzugreifen? Insbesondere sollten sie keine Dateien an eine beliebige Stelle im Web hochladen können.

Das Blockieren von HTTPS könnte eine erste, einfache, aber sehr radikale Lösung sein. Die Verwendung einer schwarzen Liste von IP-Adressen würde ebenfalls nicht ausreichen. Wahrscheinlich wird eine Art Software benötigt, um den Datenverkehr auf Inhaltsebene zu filtern. Ein Proxy kann hilfreich sein, um HTTPS-Datenverkehr filtern zu können.

Das sind meine bisherigen Gedanken. Was denkst du? Irgendwelche Ideen?

Grundsätzlich haben Sie hier drei Möglichkeiten.

1. Trennen Sie Ihr Büro / Ihre Benutzer vom Internet

• Wenn sie nicht in die "Public Cloud" gelangen können, können sie nichts in sie hochladen.
  
  

2. Erstellen Sie eine Blacklist mit bestimmten Diensten, auf die Benutzer zugreifen können.

• Dies wird absolut gewaltig sein, wenn es auch nur aus der Ferne effektiv sein soll.
  • Technisch versierte Benutzer werden immer einen Weg finden, um das Problem zu umgehen - ich kann von überall auf der Welt über eine Internetverbindung eine Verbindung zu meinem Computer herstellen, also ... viel Glück, dass ich blockiert werde.
    
    

3. Mach etwas Vernünftigeres / erkenne die Grenzen der Technologie.

• Dies ist nicht Ihre Idee, aber wenn Sie dem Management die Fallstricke und die Kosten für die Implementierung einer solchen Lösung aufzeigen, sind sie offener für bessere Ansätze.

  • Manchmal ist dies eine Konformitätssache oder "nur für den Anschein", und sie sind damit zufrieden, nur die beliebtesten Dienste zu blockieren
  • Manchmal verstehen sie wirklich nicht, wie verrückt ihre Bitte ist, und Sie müssen sie in Begriffen erklären, die sie verstehen können.
    • Ich hatte einmal einen Kunden, als ich für einen Computersicherheitsanbieter arbeitete, der wollte, dass wir einen Weg finden, um Mitarbeiter davon abzuhalten, vertrauliche Informationen an unseren AV-Agenten weiterzuleiten. Ich holte mein Smartphone heraus, machte ein Bild von meinem Bildschirm und fragte ihn, wie er das möglicherweise verhindern könne, oder schrieb die Informationen sogar auf ein Stück Papier.
    • Verwenden Sie die Nachrichten und die jüngsten Ereignisse in Ihrer Erklärung - wenn die Armee Manning nicht aufhalten konnte und die NSA Snowden nicht aufhalten konnte, warum glauben Sie dann, dass wir es schaffen können und wie viel Geld wird es Ihrer Meinung nach kosten, es auch nur zu versuchen?

Es gibt natürlich keine Möglichkeit, es vollständig zu blockieren, es sei denn, das Unternehmensnetzwerk wurde vom Internet getrennt.

Wenn Sie wirklich etwas wollen, das die meiste Zeit funktionieren soll, während es größtenteils transparent ist, müssen Sie Pakete tief schnüffeln . Richten Sie einen Man-in-the-Middle-SSL / TLS-Proxy sowie einen für unverschlüsselte Kommunikation ein und blockieren Sie den gesamten Datenverkehr, der keinen dieser Daten durchläuft.

• Blockieren Sie HTTP-PUT-Anforderungen
• Blockieren Sie alle HTTP-POST-Anforderungen, bei denen der Inhaltstyp nicht application / x-www-form-urlencoded oder multipart / form-data ist
• Entfernen Sie für HTTP-POST-Anforderungen vom Typ Multipart / Formulardaten Felder mit der inhaltlichen Disposition "Datei" (lassen Sie jedoch andere Felder durch).
• Blockieren Sie den FTP-, BitTorrent- und SMTP-Verkehr
• Blockieren Sie den gesamten Datenverkehr zu den wichtigsten Webmail-Diensten und zu den wichtigsten öffentlichen Dateispeicherorten.

Wie Sie sehen, ist dies ein massives und schmerzhaftes Unterfangen. Es ist auch alles andere als unverwundbar : Ich denke an mehrere Problemumgehungen, während ich dies schreibe, von denen einige nicht behoben werden können, ohne die Webverbindungen Ihrer Benutzer grundlegend zu unterbrechen, und es wird wahrscheinlich Kommentare geben, die viel mehr zeigen, als ich es nicht getan habe Denk an. Es sollte jedoch den meisten Datenverkehr durchlassen und gleichzeitig die einfachsten Möglichkeiten herausfiltern, um das Hochladen von Dateien zu verhindern.

Das Fazit ist, dass dies mehr Ärger ist, als es wert ist.

Die beste Antwort wäre, eine Art Verhandlung mit Ihren Vorgesetzten aufzunehmen: Finden Sie heraus, was sie wirklich wollen (wahrscheinlich entweder Schutz von Geschäftsgeheimnissen oder Verhinderung von Haftung), und erklären Sie, warum diese nicht praktikablen technischen Maßnahmen sie nicht zu dem bringen, was sie wollen. Dann können Sie Lösungen für ihre Probleme erarbeiten, die keine nicht umsetzbaren technologischen Maßnahmen beinhalten.

Machen Sie sich in diesen Diskussionen keine Gedanken über die Ideologie. Sie müssen sich nur darauf konzentrieren, was funktionieren wird und was nicht . Sie werden dort alle Argumente finden, die Sie brauchen, und obwohl dies Sie und Ihre Chefs zweifellos frustrieren wird, vermeidet es, Werturteile gegen sie zu fällen (was vielleicht verdient ist, aber nur dazu führt, dass die Gespräche zusammenbrechen, und das ist schlecht ).

Was HopelessN00b gesagt hat. Ich wollte nur hinzufügen, dass:

Ich habe eine Freundin mit einem Job bei einer Regierungsbehörde, bei der sie kein Handy mit einer Kamera ins Büro bringen darf. Normalerweise sagt sie: "Ich darf kein Handy mit Kamera besitzen", weil, na ja. Wenn sie ihre Zelle nicht mitnehmen kann, warum sollte sie eine besitzen? Sie hat Probleme, Handys ohne Kamera zu finden.

Ich habe für andere hochsichere Orte gearbeitet, die dieses Problem über den administrativen Faschismus "lösen" würden :

• Eine offizielle Richtlinie, nach der der Zugriff auf Ihre persönlichen E-Mails von Ihrem Arbeitsplatz aus strafbar ist.
• Eine offizielle Richtlinie, nach der der Zugriff auf einen Cloud-Dienst von Ihrer Workstation aus strafbar ist.
• Eine offizielle Richtlinie besagt, dass das Anschließen eines USB-Sticks, eines iPods oder eines Mobiltelefons an eine Workstation eine Straftat darstellt.
• Eine offizielle Richtlinie, nach der der Zugriff auf soziale Medien von Ihrer Workstation aus strafbar ist.
• Eine offizielle Richtlinie besagt, dass die Installation von nicht autorisierter Software auf Ihrer Workstation eine Straftat darstellt.
• Eine offizielle Richtlinie, nach der der Zugriff auf Ihr persönliches Online-Banking von Ihrer Workstation aus strafbar ist.
• Eine epische Unternehmens-Firewall / Proxy, die viele / die meisten dieser Websites blockiert hat. Wenn Sie beispielsweise versuchen, auf facebook.com zuzugreifen, wird ein Bildschirm mit der Meldung "Diese Website wurde von ETRM blockiert" angezeigt. Gelegentlich blockierten sie Dinge wie Stack Overflow auch als "Hacking".
• Bei einigen "Verstößen" wird eine E-Mail an Ihr gesamtes Team gesendet, die besagt, dass Sie auf eine nicht autorisierte Website zugegriffen haben (im Gegensatz zum diesmaligen Schießen). ("Katherine Villyard hat um 15:21 Uhr auf http://icanhas.cheezburger.com/ zugegriffen !")
• Erzwingen Sie, dass alle neuen Mitarbeiter den Kurs "Sicherheitspolitik" belegen, in dem diese Regeln erläutert werden, und zwingen Sie die Mitarbeiter, regelmäßig Auffrischungskurse zu diesen Regeln zu absolvieren. Und dann nimm an einem Quiz teil.

Orte, die sich auf den Verwaltungsfaschismus stützen, versuchen meiner Erfahrung nach im Allgemeinen nur flüchtig, diese Regeln mit technischen Mitteln zu sichern. Zum Beispiel sagen sie, dass sie Sie feuern, wenn Sie ein USB-Stick anschließen, aber sie deaktivieren USB nicht. Sie blockieren Facebook über http, aber nicht über https. Und, wie HopelessN00b hervorhob, wissen und verspotten versierte Benutzer dies.

Eigentlich gibt es eine einfache Lösung, vorausgesetzt, Sie erwarten nicht, dass Ihr internes Netzwerk gleichzeitig mit dem Internet in Berührung kommt.

Ihre PCs müssen lediglich vollständig vom Zugriff auf das Internet ausgeschlossen sein. Alle USB-Anschlüsse blockiert usw.

Um ins Internet zu gelangen, müssen die Benutzer entweder einen anderen Computer verwenden - der mit einem anderen Netzwerk verbunden ist - oder sich über RDP mit einem Terminalserver verbinden, der über einen Internetzugang verfügt. Sie deaktivieren die Zwischenablage über RDP und keine Windows-Freigabe. Auf diese Weise können Benutzer keine Dateien auf die Internet-Terminalserver kopieren und somit keine Dateien senden.

Damit bleiben E-Mails ... das ist Ihre größte Lücke, wenn Sie E-Mails auf den internen PCs zulassen.

Sie kennen den alten Witz, dass Sie, wenn Sie und ein Halbling von einem wütenden Drachen verfolgt werden, nicht schneller laufen müssen als der Drache, sondern nur schneller sein müssen als der Halbling? Unter der Annahme, dass nicht böswillige Benutzer * den Zugriff auf die öffentliche Cloud nicht einschränken müssen, reicht es aus, die Benutzerfreundlichkeit der öffentlichen Cloud zu verringern, als die der Unternehmenslösung für den nicht schreibtischgebundenen Datenzugriff . Durch die ordnungsgemäße Implementierung wird das Risiko von nicht böswilligen Lecks erheblich reduziert und ist mit einem Bruchteil der Kosten realisierbar.

In den meisten Fällen sollte eine einfache schwarze Liste ausreichen. Legen Sie Google Drive, Dropbox und die Apple Cloud darauf. Blockieren Sie auch den Datenverkehr zu Amazon AWS - die meisten dieser Start-ups, die einen weiteren Cloud-Service erstellen, erstellen kein eigenes Rechenzentrum. Sie haben soeben die Anzahl der Mitarbeiter, die wissen, wie sie in die Public Cloud gelangen, von 90% auf 15% gesenkt (sehr grobe Zahlen, je nach Branche unterschiedlich). Erklären Sie anhand einer geeigneten Fehlermeldung, warum öffentliche Clouds verboten sind, was den Eindruck einer mutwilligen Zensur mindert (leider wird es immer Benutzer geben, die nicht bereit sind, dies zu verstehen).

Die restlichen 15% können Anbieter erreichen, die nicht auf der schwarzen Liste stehen, aber sie werden sich wahrscheinlich nicht darum kümmern. Google Drive und Co unterliegen stark positiven Netzwerkeffekten (der wirtschaftlichen Art, nicht der technischen Art). Jeder nutzt die gleichen 2-3 Dienste, so dass sie überall eingebaut werden. Benutzer erstellen bequeme, optimierte Workflows, die diese Dienste enthalten. Wenn der alternative Cloud-Anbieter nicht in einen solchen Workflow integriert werden kann, haben die Benutzer keinen Anreiz, ihn zu verwenden. Und ich hoffe, dass Sie eine Unternehmenslösung für die grundlegendste Verwendung einer Cloud haben, z. B. das Speichern von Dateien an einem zentralen Ort, der von einem physischen Standort außerhalb des Campus aus erreichbar ist (mit VPN, wenn Sicherheit erforderlich ist).

Fügen Sie dieser Lösung eine Menge Mess- und Analysefunktionen hinzu. (Dies wird immer benötigt, wenn Benutzer betroffen sind). Entnehmen Sie Datenverkehrsproben, insbesondere, wenn verdächtige Muster vorliegen (Upstream-Datenverkehr in Bursts, die groß genug sind, um Dokumente hochzuladen, die an dieselbe Domain gerichtet sind). Sehen Sie sich die identifizierten verdächtigen Domänen genau an. Wenn Sie feststellen, dass es sich um einen Cloud-Anbieter handelt, finden Sie heraus, warumBenutzer verwenden es, sprechen mit dem Management über die Bereitstellung einer Alternative mit gleicher Benutzerfreundlichkeit und informieren den anstößigen Benutzer über die Alternative. Es wäre großartig, wenn Ihre Unternehmenskultur es Ihnen ermöglicht, gefangene Benutzer sanft umzuerziehen, ohne dass Sie zum ersten Mal Disziplinarmaßnahmen ergreifen. Dann werden sie sich nicht besonders schwer vor Ihnen verstecken müssen, und Sie können leicht Abweichungen erkennen und mit der Situation umgehen auf eine Weise, die das Sicherheitsrisiko verringert, dem Benutzer jedoch ermöglicht, seine Arbeit effizient zu erledigen.

Ein vernünftiger Manager ** wird verstehen, dass diese schwarze Liste zu Produktivitätsverlusten führen wird. Die Benutzer hatten einen Grund, die öffentliche Cloud zu nutzen - sie sind motiviert, produktiv zu sein, und der bequeme Workflow steigerte ihre Produktivität (einschließlich der Menge an unbezahlten Überstunden, zu denen sie bereit sind). Es ist Aufgabe eines Managers, den Kompromiss zwischen Produktivitätsverlust und Sicherheitsrisiken zu bewerten und Ihnen mitzuteilen, ob er bereit ist, die Situation unverändert zu lassen, die schwarze Liste umzusetzen oder geheimdienstwürdige Maßnahmen zu ergreifen sehr unpraktisch und bieten immer noch keine 100% ige Sicherheit).

[*] Ich weiß, dass Menschen, deren Job die Sicherheit ist, zuerst an kriminelle Absichten denken. Tatsächlich ist ein entschlossener Krimineller viel schwerer aufzuhalten und kann viel schlimmer Schaden anrichten als ein nicht böswilliger Benutzer. In Wirklichkeit gibt es jedoch nur wenige Organisationen, die infiltriert werden. Die meisten Sicherheitsprobleme hängen mit der Dummheit wohlmeinender Benutzer zusammen, die die Konsequenzen ihrer Handlungen nicht erkennen. Und weil es so viele von ihnen gibt, sollte die Bedrohung, die sie darstellen, genauso ernst genommen werden wie der gefährlichere, aber viel seltenere Spion.

[**] Ich bin mir bewusst, dass, wenn Ihre Chefs diese Forderung bereits gestellt haben, die Wahrscheinlichkeit besteht, dass sie nicht der vernünftige Typ sind. Wenn sie vernünftig, aber falsch sind, ist das großartig. Wenn sie unvernünftig und hartnäckig sind, ist dies unglücklich, aber Sie müssen einen Weg finden, mit ihnen zu verhandeln. Solch eine Teillösung anzubieten, auch wenn man sie nicht dazu bringen kann, sie zu akzeptieren, kann ein guter strategischer Schachzug sein - richtig präsentiert, zeigt es ihnen, dass Sie "auf ihrer Seite" sind, ihre Bedenken ernst nehmen und bereit sind zu suchen nach Alternativen zu technisch nicht umsetzbaren Anforderungen.

Ihr Management bittet Sie, die Büchse der Pandora zu schließen.

Grundsätzlich können Sie das Hochladen von Dokumentation für alle bekannten möglichen Mechanismen verhindern, Sie können jedoch nicht verhindern, dass Zero-Day-Exploits (oder das Ihnen entsprechende) verwendet werden.

Allerdings kann eine authentifizierende Firewall zur Identifizierung des Benutzers und der Workstation implementiert werden, um den Zugriff mit der von Ihnen gewünschten ACL einzuschränken. Sie können einen Reputationsservice einbinden, wie in einigen anderen Antworten beschrieben, um die Verwaltung des Prozesses zu erleichtern.

Die eigentliche Frage ist, ob es um Sicherheit oder um Kontrolle geht . Wenn es das erste ist, müssen Sie die Kostenschwelle verstehen, die Ihre Manager zu zahlen bereit sind. Wenn es das zweite ist, wird wahrscheinlich ein großes sichtbares Theater ausreichen, um sie von Ihrer Leistung zu überzeugen, mit kleinen Ausnahmen.

Sie benötigen ein Inhaltsfiltergerät oder einen Dienst wie BlueCoat Secure Web Gateway oder eine Firewall mit Inhaltsfilterung wie eine Palo Alto-Firewall. Produkte wie dieses verfügen über umfassende Kategoriefilter, die Online-Speicher umfassen.

BlueCoat bietet sogar einen Cloud-basierten Dienst, bei dem Sie die Benutzer Ihres Laptops dazu zwingen können, eine Verbindung über einen Proxy-Dienst herzustellen, der lokal auf ihrem Computer ausgeführt wird, aber die Regeln für die Inhaltsfilterung von einer zentralen Quelle bezieht.

• Schwarze Liste

Erstellen Sie eine Liste von Sites, auf die die Benutzer nicht zugreifen können.

Pro: Bestimmten Dienst blockieren.

Nachteile: Eine große Liste, manchmal kann es die Leistung der Firewall des Systems beeinträchtigen (normalerweise!). Manchmal könnte es umgangen werden.

• WhiteList

Anstatt sich auf eine große Liste von Websites mit schwarzer Liste zu stützen, verwenden einige Unternehmen eine Whitelist, auf die Benutzer nur auf Websites mit weißer Liste zugreifen können.

Pro: einfach zu handhaben.

Nachteile: Es schadet der Produktivität.

• Blockieren Sie die Größe der gesendeten Informationen (POST / GET).

Einige Firewalls erlauben es, die Größe der gesendeten Informationen zu blockieren, was das Senden einiger Dateien unmöglich macht.

Pro: Einfach zu verwalten.

Nachteile: Einige Benutzer könnten dies umgehen, indem sie Dateien in kleinen Blöcken senden. Einige Websites könnten beschädigt werden, z. B. senden einige Winforms-Websites von Java und Visual Studio regelmäßig viele Informationen.

• Nicht-HTTP-Verbindungen blockieren

Pro: einfach zu konfigurieren.

Nachteile: Es könnte aktuelle Systeme beschädigen.

Nach meiner Erfahrung habe ich für eine Bank gearbeitet. Die Administratoren blockierten den Zugriff auf den USB-Treiber und einige eingeschränkte Sites (Blacklist). Ich habe jedoch eine PHP-Datei in einem kostenlosen Webhosting erstellt und kann meine Dateien problemlos hochladen (über eine reguläre Website). Dafür habe ich 5 Minuten gebraucht.

Ich stimme einigen Kommentaren zu, es ist einfach und effektiver, Regeln für die Personalabteilung anzuwenden.