阻止员工访问公共云

Question

首先声明，这不是我的想法，我不想讨论这样的行为是否合理。

但是，对于一个公司来说，有没有办法阻止员工访问公有云服务呢？特别是，他们不应该能够将文件上传到网络上的任何地方。

阻止 HTTPS 可能是第一个简单但非常激进的解决方案。使用 IP 地址黑名单也是不够的。可能需要某种软件来过滤内容级别的流量。代理可能会有所帮助，以便能够过滤 HTTPS 流量。

到目前为止，这些是我的想法。你怎么认为？有任何想法吗？

Answer 1

你在这里基本上有三个选择。

1. 断开您的办公室/用户与互联网的连接

• 如果他们无法访问“公共云”，他们就无法向其中上传任何内容。
  
  

2. 编制一份您担心用户访问的特定服务的黑名单。

• 如果它意味着甚至远程有效，这将绝对是巨大的。
  • 精通技术的用户总能找到解决方法——我可以从世界任何地方通过互联网连接到我的电脑，所以......祝你好运，阻止我，例如。
    
    

3. 做一些更合理的事情/认识到技术的局限性。

• 这不是您的想法，但通常，如果您向管理层提供实施此类解决方案的陷阱和费用，他们将更愿意接受更好的方法。

  • 有时这是合规性的事情，或者“只是为了外表”，他们很高兴阻止最受欢迎的服务
  • 有时他们真的不明白他们的要求有多疯狂，需要你用他们能理解的语言告诉他们。
    • 曾经有一个客户，当我为一家计算机安全供应商工作时，他希望我们提供一种方法来阻止员工通过我们的 AV 代理泄露机密信息。我拿出我的智能手机，给我的屏幕拍了张照片，问他怎么可能阻止这种情况，甚至把信息写在一张纸上。
    • 在你的解释中使用新闻和最近的事件——如果军队不能阻止曼宁，而国家安全局也不能阻止斯诺登，你认为我们能做到的原因是什么，你认为即使尝试也要花多少钱？

Answer 2

当然，除非企业网络与 Internet 断开连接，否则无法完全阻止它。

如果你真的想要一些在大部分时间都可以工作的东西，同时又大部分是透明的，你需要深入嗅探数据包。设置一个中间人 SSL/TLS 代理，以及一个用于未加密通信的代理，并阻止所有未通过其中之一的流量。

• 阻止 HTTP PUT 请求
• 阻止所有内容类型不是 application/x-www-form-urlencoded 或 multipart/form-data 的 HTTP POST 请求
• 对于 multipart/form-data 类型的 HTTP POST 请求，删除内容配置为“文件”的字段（但让其他字段通过）。
• 阻止 FTP、BitTorrent 和 SMTP 流量
• 阻止所有到主要 Webmail 服务和主要公共文件存储站点的流量。

如您所见，这是一项艰巨而痛苦的任务。它也远非无懈可击：即使在我写这篇文章时，我也在考虑几种解决方法，其中一些不能在不从根本上破坏用户的 Web 连接的情况下处理，并且可能会有评论显示更多我没有考虑到。但它应该让大多数流量通过，同时过滤掉消除文件上传的最简单方法。

最重要的是，这比它的价值更麻烦。

最好的答案是与你的老板进行某种谈判：找出他们真正想要什么（可能是保护商业秘密或预防责任），并指出为什么这些行不通的技术措施不会让他们得到他们想要的。然后，您可以在不涉及不可行的技术措施的情况下为他们的问题制定解决方案。

在这些讨论中不要担心意识形态：您所要做的就是关注什么可行，什么不可行。你会在那里找到你需要的所有论点，虽然这无疑会让你和你的老板都感到沮丧，但它避免了对他们的价值判断（这可能是应得的，但只会导致谈判破裂，这是不好的）。

Answer 3

HopelessN00b 所说的话。我只想补充一点：

我有一个朋友在政府机构工作，她不允许带带摄像头的手机到办公室。她通常会说，“我不允许拥有带摄像头的手机”，因为，好吧。如果她不能随身携带她的手机，为什么要拥有一个？她很难找到没有摄像头的手机。

我曾在其他高安全类型的地方工作过，这些地方将通过行政法西斯主义“解决”这个问题：

• 从您的工作站访问您的个人电子邮件的官方政策是一种解雇罪。
• 从您的工作站访问云服务的官方政策是一种解雇行为。
• 将 U 盘、ipod 或手机插入工作站的官方政策是开火罪。
• 从您的工作站访问社交媒体的官方政策是解雇罪。
• 在您的工作站上安装未经授权的软件的官方政策是开火。
• 从您的工作站访问您的个人网上银行的官方政策是一种解雇行为。
• 一个史诗般的企业防火墙/代理，其中许多/大多数站点被阻止。例如，任何访问 facebook.com 的尝试都会提示一整屏“该站点被 ETRM 阻止”。他们偶尔也会将诸如 Stack Overflow 之类的东西屏蔽为“黑客行为”。
• 某些“违规”值得向您的整个团队发送一封电子邮件，说明您访问了未经授权的站点（而不是解雇……这次）。（“Katherine Villyard于下午 3:21访问了http://icanhas.cheezburger.com/！”）
• 强迫所有新员工参加解释这些规则的“安全政策”课程，并强迫人们定期参加有关这些规则的进修课程。然后参加并通过他们的测验。

根据我的经验，依赖行政法西斯主义的地方通常只会粗略地尝试通过技术手段支持这些规则。例如，他们说如果您插入拇指驱动器，他们会解雇您，但他们不会禁用 USB。他们通过 http 而不是通过 https 阻止 Facebook。而且，正如 HopelessN00b 指出的那样，精明的用户知道并嘲笑这一点。

Answer 4

实际上，如果您不希望您的内部网络同时暴露于 Internet，则有一个简单的解决方案。

只需完全阻止您的 PC 访问 Internet。所有 USB 端口被阻止等。

为了上网，人们需要使用不同的计算机——连接到不同的网络——或者通过 RDP 连接到可以访问 Internet 的终端服务器。您通过 RDP 禁用剪贴板并且没有窗口共享。这样，用户就无法将文件复制到 Internet 终端服务器上，从而无法将文件发送出去。

这就留下了电子邮件……如果您允许在内部 PC 上使用电子邮件，那么这就是您最大的漏洞。

Answer 5

你知道那个古老的笑话，如果你和一个半身人被愤怒的龙追赶，你不必跑得比龙快，你只需要比半身人快？假设非恶意用户*，您不必限制他们对公共云的访问，这足以使公共云的可用性低于您拥有的用于非桌面绑定数据访问的任何企业解决方案的可用性. 如果实施得当，这将大大降低非恶意泄漏的风险，并且只需花费一小部分成本即可实现。

在大多数情况下，一个简单的黑名单就足够了。将 Google Drive、Dropbox 和 Apple 云放在上面。还要阻止流向 Amazon AWS 的流量——这些热门初创公司中的大多数构建了另一项云服务，但并不构建自己的数据中心。您只是将知道如何进入公共云的员工数量从 90% 减少到 15%（非常粗略的数字，会因行业而异）。用一个合适的错误信息来解释为什么禁止公有云，这会减少他们对肆意审查的印象（遗憾的是，总会有用户不愿意理解）。

剩下的 15% 仍然可以联系到不在黑名单上的提供商，但他们可能不会费心去做。Google Drive 和 co 受到强大的积极网络效应（经济类型，而不是技术类型）的影响。每个人都使用相同的 2-3 种服务，因此它们无处不在。用户可以构建包含这些服务的便捷、简化的工作流程。如果替代的云提供商不能集成到这样的工作流中，用户就没有动力使用它。我希望您有一个企业解决方案，用于最基本的云使用，例如将文件存储在一个中心位置，可以从校园外的物理位置访问（如果需要安全性，可以使用 VPN）。

向此解决方案添加大量测量和分析。（这在用户关心的地方总是需要的）。采集流量样本，尤其是在表现出可疑模式时（突发的上游流量足以上传文档，指向同一域）。人工查看已识别的可疑域，如果发现它是云提供商，请找出原因用户正在使用它，与管理层讨论提供具有同等可用性的替代方案，教育违规用户有关替代方案。如果您的企业文化允许您在第一次不采取纪律措施的情况下对被抓到的用户进行温和的再教育，那就太好了——这样他们就不会特别努力地向您隐瞒，您将能够轻松地发现偏差并处理情况以降低安全风险但仍允许用户高效完成工作的方式。

一个理性的管理者**会明白这个黑名单会导致生产力损失。用户有理由使用公共云——他们被激励提高工作效率，便捷的工作流程提高了他们的工作效率（包括他们愿意做的无偿加班时间）。经理的工作是评估生产力损失和安全风险之间的权衡，并告诉您他们是否愿意让情况保持原状，实施黑名单，还是采取值得秘密服务的措施（这是非常不方便，并且仍然不能提供 100% 的安全性）。

[*] 我知道从事安全工作的人首先会想到犯罪意图。事实上，与非恶意用户相比，一个坚定的罪犯更难阻止，并且可能造成更严重的损害。但实际上，被渗透的组织很少。大多数安全问题都与善意的用户的愚蠢有关，他们没有意识到他们的行为的后果。而且由于它们的数量如此之多，它们构成的威胁应该与更危险但更罕见的间谍一样受到重视。

[**] 我知道，如果你的老板已经提出了这个要求，那么他们很可能不是合理的类型。如果他们是合理的，但只是被误导了，那就太好了。如果他们不讲道理、固执，这是不幸的，但你必须想办法与他们谈判。提供这样一个局部的解决方案，即使你不能让他们接受，也可以是一个很好的战略举措——正确地提出，它向他们表明你“站在他们一边”，认真对待他们的担忧，并准备好寻找用于替代技术上不可行的要求。