Bloquear o acesso dos funcionários à nuvem pública

29

Antes de tudo, deixe-me afirmar que essa não é minha idéia e não quero discutir se tal ação é razoável.

No entanto, para uma empresa, existe uma maneira de impedir que os funcionários acessem serviços de nuvem pública? Em particular, eles não devem poder fazer upload de arquivos para qualquer lugar da Web.

O bloqueio do HTTPS pode ser a primeira solução simples, mas muito radical. Usar uma lista negra de endereços IP também não seria suficiente. Provavelmente, é necessário algum tipo de software para filtrar o tráfego em um nível de conteúdo. Um proxy pode ser útil para poder filtrar o tráfego HTTPS.

Teses são meus pensamentos até agora. O que você acha? Alguma ideia?

Marsze
fonte
2
Um de nossos clientes (fazemos outras coisas por eles) canaliza todo o tráfego através de um proxy que é observado pelo bluecoat.com Muitos sites (armazenamento de arquivos, jogos, hackers, mídia ...) estão bloqueados. Eu realmente odeio ...
Reeno
45
Entendo por que você diz que não quer discutir isso, mas isso explica uma das maiores partes da descrição de um bom administrador de sistemas: falar a verdade ao poder. Às vezes, uma ideia é prima facie estúpida; outras vezes, não é uma má ideia, mas é social / comercial e não é mais adequada a uma solução técnica. Nos dois casos, a única coisa correta para um administrador de sistemas fazer é se virar e dizer " não ".
MadHatter apoia Monica
4
@ MadHatter Ainda assim, além dessa intuição inicial que compartilhamos, tento apresentar pelo menos o que seria tecnicamente possível. Além disso, eu concordo.
marsze
8
Não é para isso que servem as políticas de gerenciamento e uso aceitável?
user9517 suporta GoFundMonica
6
possível: seus computadores nunca estão conectados à Internet, não é permitida nenhuma câmera (celular incluído, obviamente) ou dispositivo de gravação (como uma caneta) no escritório, escritório sem janela que você possa abrir ou ver através. Além disso, seus usuários precisam ser totalmente pesquisados ​​no corpo e apagados na memória toda vez que saem do escritório, caso contrário eles podem memorizar algo e colocá-lo na internet mais tarde!
Njzk2

Respostas:

71

Você basicamente tem três opções aqui.

1. Desconecte seu escritório / usuários da Internet

  • Se eles não conseguem acessar a "nuvem pública", não podem fazer upload de nada para ela.

2. Compile uma lista negra de serviços específicos que você está preocupado com o acesso dos usuários.

  • Isso será absolutamente enorme se for para ser remotamente eficaz.
    • Usuários experientes em tecnologia sempre poderão encontrar uma maneira de contornar isso - eu posso conectar ao meu computador de qualquer lugar do mundo com uma conexão à Internet, então ... boa sorte me bloqueando, por exemplo.

3. Faça algo mais razoável / reconheça os limites da tecnologia.

  • Essa não é sua idéia, mas geralmente, se você fornecer à gerência as armadilhas e as despesas da implementação de uma solução como essa, elas estarão mais abertas a abordagens melhores.

    • Às vezes, isso é uma questão de conformidade, ou "apenas para aparências", e eles ficam felizes em bloquear os serviços mais populares
    • Às vezes, eles realmente não entendem o quão insano o pedido deles é e precisam que você diga a eles em termos que eles possam entender.
      • Teve um cliente uma vez, quando eu trabalhava para um fornecedor de segurança de computadores, que queria que nós fornecêssemos uma maneira de impedir que os funcionários vazassem informações confidenciais com nosso agente de antivírus. Peguei meu smartphone, tirei uma foto da minha tela e perguntei como ele poderia impedir isso, ou mesmo anotando as informações em um pedaço de papel.
      • Use as notícias e os eventos recentes em sua explicação - se o Exército não conseguiu parar de Manning e a NSA não conseguiu impedir Snowden, o que faz você pensar que podemos fazê-lo e quanto dinheiro você acha que vai tentar custar?
HopelessN00b
fonte
11
Boa resposta. O pedido realmente não pode ser tratado fora do actualyl 2.a - usando uma WHITELIST. E depois contratar pessoas para gerenciá-lo;) Porque cara, vai dar muito trabalho. Possivelmente menos do que uma lista negra. E ainda não consegue nada (boa ideia com o smartphone). Pedido surreal.
TomTom
11
@ TomTom Sim, pensei na lista de desbloqueio, mas em todos os lugares que eu já vi, a lista de desbloqueio das partes da Internet que eles querem acessar é muito maior do que a lista negra de serviços dos quais eles têm medo irracional / não querem funcionários acessando.
HopelessN00b
11
Eu acho que depende. Por exemplo, na minha empresa, a lista de permissões seria apenas 300 itens. Necessário para negócios. Uma lista negra começará a lidar com tudo. Além disso, a lista branca que você ganha (sempre válida, começa com 0 entradas) - a lista negra que você nem sabe por onde começar. Mas, geralmente, essas são tentativas fúteis.
TomTom
3
IMHO, o bloqueio dos 10 sites mais óbvios provavelmente alcançaria 95% do que a gerência busca. Ninguém se importa com os poucos nerds que passarão pelo túnel.
Steve Bennett
3
@SteveBennett Embora isso provavelmente seja verdade, não é seguro supor que a gerência não se importe com os 5% e / ou pessoas que podem e irão burlar o sistema. Se os recursos técnicos não informarem a gerência sobre as limitações do sistema, serão os recursos técnicos cujas cabeças rolam quando alguém faz o upload de todo o IP da empresa para o BitTorrent (ou qualquer incidente que traga esse problema de volta à atenção da gerência).
HopelessN00b
30

Obviamente, não há como bloqueá-lo completamente, a menos que a rede corporativa seja desconectada da Internet.

Se você realmente quer algo que deve funcionar a maior parte do tempo, enquanto sendo principalmente transparente, você vai precisar para pacotes deep-farejar . Configure um proxy SSL / TLS man-in-the-middle, bem como um para comunicação não criptografada, e bloqueie todo o tráfego que não passa por um deles.

  • Bloquear solicitações HTTP PUT
  • Bloqueie todas as solicitações HTTP POST em que o tipo de conteúdo não é application / x-www-form-urlencoded ou multipart / form-data
  • Para solicitações HTTP POST do tipo multipart / form-data, retire os campos com uma disposição de conteúdo de "arquivo" (mas deixe outros campos passarem).
  • Bloquear tráfego FTP, BitTorrent e SMTP
  • Bloqueie todo o tráfego para os principais serviços de Webmail e para os principais sites de armazenamento de arquivos públicos.

Como você pode ver, este é um empreendimento massivo e doloroso. Também está longe de ser invulnerável : estou pensando em várias soluções alternativas enquanto escrevo isso, algumas das quais não podem ser tratadas sem interromper fundamentalmente as conexões da Web de seus usuários, e provavelmente haverá comentários mostrando muito mais que eu não fiz Imagine. Mas deve permitir a maior parte do tráfego, enquanto filtra as maneiras mais fáceis de eliminar o upload de arquivos.

A linha inferior é que isso é mais problema do que vale a pena.

A melhor resposta seria entrar em uma espécie de negociação com seus chefes: descobrir o que eles realmente querem (provavelmente proteção de segredos comerciais ou prevenção de responsabilidade) e apontar por que essas medidas tecnológicas impraticáveis ​​não lhes darão o que querem. Depois, você pode encontrar soluções para seus problemas que não envolvam medidas tecnológicas impraticáveis.

Não se preocupe com a ideologia nessas discussões: tudo o que você precisa fazer é se concentrar no que vai funcionar e no que não vai . Você encontrará todos os argumentos de que precisa e, embora isso sem dúvida frustre você e seus chefes, evita passar julgamentos de valor contra eles (o que pode ser merecido, mas só fará com que as conversas sejam interrompidas e isso é ruim) )

The Spooniest
fonte
4
+1 por fornecer algumas sugestões úteis de implementação e também por apresentar uma visão sobre esse problema de uma perspectiva mais ampla!
marsze
26

O que o HopelessN00b disse. Eu só queria acrescentar que:

Eu tenho uma amiga que trabalha em uma agência do governo onde ela não pode levar um telefone celular com uma câmera para o escritório. Ela costuma dizer isso como: "Não tenho permissão para possuir um celular com uma câmera", porque, bem. Se ela não pode levar seu celular com ela, por que possuir um? Ela tem dificuldade em encontrar telefones celulares que não têm câmeras.

Eu trabalhei para outros lugares do tipo de alta segurança que "resolveriam" esse problema via fascismo administrativo :

  • Uma política oficial de que acessar seu e-mail pessoal a partir da estação de trabalho é uma ofensa.
  • Uma política oficial de que acessar um serviço de nuvem da sua estação de trabalho é uma ofensa.
  • Uma política oficial de que conectar um pen drive, ipod ou telefone celular em uma estação de trabalho é uma ofensa.
  • Uma política oficial de que acessar as mídias sociais a partir da estação de trabalho é uma ofensa.
  • Uma política oficial de que a instalação de software não autorizado em sua estação de trabalho é uma ofensa.
  • Uma política oficial de que acessar o banco on-line pessoal a partir da estação de trabalho é uma ofensa.
  • Um firewall / proxy corporativo épico que tem muitos / a maioria desses sites bloqueados. Qualquer tentativa de acessar o facebook.com, por exemplo, exibe uma tela cheia de "Este site bloqueado pelo ETRM". Ocasionalmente, eles bloquearam coisas como o Stack Overflow como "hacking" também.
  • Algumas "ofensas" merecem um email enviado para toda a equipe, informando que você acessou um site não autorizado (em vez de disparar ... desta vez). ("Katherine Villyard acessou http://icanhas.cheezburger.com/ às 15:21!")
  • Forçar todas as novas contratações a fazerem a aula de "política de segurança" explicando essas regras e forçar as pessoas a fazer cursos regulares de atualização sobre essas regras. E então faça e faça um teste neles.

Locais que dependem do fascismo administrativo geralmente fazem apenas tentativas superficiais de fazer backup dessas regras por meios técnicos, na minha experiência. Por exemplo, eles dizem que o demitirão se você conectar um pen drive, mas eles não desativam o USB. Eles bloqueiam o Facebook via http, mas não via https. E, como HopelessN00b apontou, os usuários mais experientes sabem e zombam disso.

Katherine Villyard
fonte
2
Na verdade, existem soluções técnicas nas quais você pode confiar para desativar os dispositivos USB (todos os agentes antivírus que eu vi em anos podem fazer isso com bastante eficiência) ou bloquear o acesso a [algumas] categorias bem definidas de sites. O problema do OP é que "nuvem pública" / "locais em que os usuários podem fazer upload de dados" não é uma categoria bem definida (e não será tão em breve), então ele não pode nem sugerir um filtro da web como uma solução para o problema ... ele terá que criar uma lista negra personalizada ou um gerenciamento de convice para ver o motivo.
HopelessN00b
Eu sei e concordo. Certamente não apresentei essa lista para endossá-la como um curso de ação. :)
Katherine Villyard
9
Tecnicamente, as nuvens públicas incluem todos os hosts, pois é trivial alugar um site e colocar um arquivo lá. Ai. Problema não solucionável.
TomTom
Por muitos anos, os funcionários no local de trabalho de meu pai não tiveram permissão para carregar telefones com uma câmera no escritório. Eventualmente, a empresa passou a adotar uma política de permitir telefones da empresa (amoras na época, iphones agora), mas não telefones pessoais.
Brian S
Muitos telefones inteligentes utilizam uma câmera modular que pode ser removida com um pouco de esforço. Não é algo que você gostaria de fazer repetidamente, pois pode exigir ferramentas estranhas para ser seguro, mas permitiria o uso de um aparelho contemporâneo e útil em uma área restrita.
Pekka
19

Na verdade, existe uma solução simples, desde que você também não espere que sua rede interna seja exposta à Internet ao mesmo tempo.

Seus PCs simplesmente precisam ser completamente impedidos de acessar a Internet. Todas as portas USB estão bloqueadas, etc.

Para acessar a Internet, as pessoas precisam usar um computador diferente - conectado a uma rede diferente - ou conectar-se via RDP a um Terminal Server que tenha acesso à Internet. Você desativa a área de transferência pelo RDP e nenhum compartilhamento de janelas. Dessa forma, os usuários não podem copiar arquivos para os Internet Terminal Servers e, portanto, não podem enviar arquivos.

Isso deixa o e-mail ... essa é a sua maior brecha, se você permitir o e-mail nos PCs internos.

ETL
fonte
3
Parece cortês, mas infelizmente essa é a verdade. Praticamente a única maneira de resolver isso.
TomTom
2
Já temos esta solução (Internet e e-mail apenas através do servidor de terminal) para partes de nossa empresa. No entanto, para os desenvolvedores de software, não tendo acesso à Internet em todos, obviamente, seria realmente problemático ...
marsze
@marsze - Eu já vi isso resolvido com um proxy da lista de permissões, onde as poucas coisas que os programadores precisam diretamente em suas caixas (como o Maven repo) são permitidas por meio de proxy.
ETL
11
Isso deixa uma caneta e um papel, ou simplesmente memória.
Njzk2
11
@marsze Eu trabalhei em uma empresa com redes separadas que fazia isso fornecendo aos desenvolvedores duas máquinas. Um robusto para o trabalho de desenvolvimento, conectado à rede somente de acesso interno, e outro (thin client ou clunker box antigo) conectado a uma rede que tinha acesso à Internet. Uma solução eficaz, se simplista e mais cara.
HopelessN00b
5

Você conhece aquela velha piada de que, se você e um halfling são perseguidos por um dragão raivoso, não precisam correr mais rápido que o dragão, só precisam ser mais rápidos que o halfling? Supondo que usuários não maliciosos *, você não precise restringir o acesso deles à nuvem pública, é suficiente para tornar a usabilidade da nuvem pública menor que a usabilidade de qualquer solução corporativa que você possua para acesso a dados não vinculados à mesa . Implementado adequadamente, isso reduzirá o risco de vazamentos não maliciosos bruscamente e é possível com uma fração do custo.

Na maioria dos casos, uma lista negra simples deve ser suficiente. Coloque o Google drive, o Dropbox e a nuvem da Apple nele. Também bloqueia o tráfego para o Amazon AWS - a maioria dessas empresas iniciantes que constroem outro serviço em nuvem não constroem seu próprio data center. Você acabou de reduzir o número de funcionários que sabem como entrar na nuvem pública de 90% para 15% (números muito aproximados, diferem por setor). Use uma mensagem de erro adequada para explicar por que as nuvens públicas são proibidas, o que reduzirá a impressão de censura arbitrária (infelizmente, sempre haverá usuários que não estão dispostos a entender).

Os 15% restantes ainda podem alcançar fornecedores que não estão na lista negra, mas provavelmente não se incomodarão em fazê-lo. O Google drive e co estão sujeitos a fortes efeitos positivos na rede (do tipo econômico, não do tipo técnico). Todo mundo usa os mesmos 2 a 3 serviços, para que eles sejam incorporados em qualquer lugar. Os usuários criam fluxos de trabalho convenientes e simplificados, que incluem esses serviços. Se o provedor de nuvem alternativo não puder ser integrado a esse fluxo de trabalho, os usuários não terão incentivo para usá-lo. E espero que você tenha uma solução corporativa para o uso mais básico de uma nuvem, como armazenamento de arquivos em um local central, acessível a partir de um local físico fora do campus (com VPN, se a segurança for necessária).

Adicione a esta solução uma grande quantidade de medidas e análises. (Isso sempre é necessário no que diz respeito aos usuários). Colete amostras de tráfego, especialmente se exibir padrões suspeitos (tráfego upstream em rajadas grandes o suficiente para fazer upload de documentos, direcionados para o mesmo domínio). Dê uma olhada humana nos domínios suspeitos identificados e, se você achar que é um provedor de nuvem, descubra por queos usuários estão usando, converse com a gerência sobre como fornecer uma alternativa com usabilidade igual, instrua o usuário ofensor sobre a alternativa. Seria ótimo se sua cultura corporativa permitir que você reeducue gentilmente os usuários capturados sem implementar medidas disciplinares pela primeira vez - eles não tentarão se esconder de você com muita força e poderá captar facilmente desvios e lidar com a situação. de uma maneira que reduz o risco à segurança, mas ainda permite que o usuário faça seu trabalho com eficiência.

Um gerente razoável ** entenderá que essa lista negra levará a perdas de produtividade. Os usuários tinham um motivo para usar a nuvem pública - eles são incentivados a serem produtivos e o fluxo de trabalho conveniente aumentou sua produtividade (incluindo a quantidade de horas extras não remuneradas que estão dispostas a fazer). É tarefa de um gerente avaliar a troca entre perda de produtividade e riscos à segurança e informar se eles estão dispostos a deixar a situação como está, a implementar a lista negra ou a adotar medidas dignas de serviços secretos (que são severamente inconveniente e ainda não fornece 100% de segurança).


[*] Eu sei que as pessoas cujo trabalho é segurança pensam primeiro em intenção criminosa. E, de fato, um criminoso determinado é muito mais difícil de parar e pode causar danos muito piores do que um usuário não malicioso. Mas, na realidade, existem poucas organizações que se infiltram. A maioria dos problemas de segurança está relacionada à bobagem de usuários bem-intencionados que não percebem as consequências de suas ações. E como existem muitos deles, a ameaça que eles representam deve ser levada tão a sério quanto o espião mais perigoso, mas muito mais raro.

[**] Estou ciente de que, se seus chefes já fizeram essa demanda, é provável que eles não sejam do tipo razoável. Se eles são razoáveis, mas apenas mal orientados, isso é ótimo. Se eles são irracionais e teimosos, isso é lamentável, mas você deve encontrar uma maneira de negociar com eles. Oferecer uma solução parcial, mesmo que você não consiga aceitá-la, pode ser uma boa jogada estratégica - apresentada corretamente, mostra que você está "do lado deles", leva as preocupações a sério e está preparado para pesquisar para alternativas a requisitos tecnicamente inviáveis.

rumtscho
fonte
4

Sua gerência está pedindo que você feche a caixa de Pandora.

Embora você possa, em princípio, impedir o upload de qualquer documentação para todos os mecanismos possíveis conhecidos, não será possível impedir que explorações de dia zero (ou o equivalente a você) sejam usadas.

Dito isto, um firewall de autenticação para identificar o usuário e a estação de trabalho pode ser implementado para restringir o acesso à ACL que você deseja. Você pode incorporar um serviço de reputação conforme descrito em algumas das outras respostas para ajudar no gerenciamento do processo.

A verdadeira questão é perguntar se isso é sobre segurança ou se é sobre controle ? Se for o primeiro, você precisará entender o limite de custo que seus gerentes estão preparados para pagar. Se for o segundo, provavelmente um grande teatro visível será suficiente para convencê-lo de que você entregou, com pequenas exceções.

Pekka
fonte
3

Você precisa de um dispositivo ou serviço de filtragem de conteúdo, como o BlueCoat Secure Web Gateway, ou um firewall com filtragem de conteúdo, como um firewall Palo Alto. Produtos como esse têm filtros de categoria amplos que incluem armazenamento online.

A BlueCoat oferece até serviço baseado em nuvem, onde você pode forçar os usuários do laptop a se conectarem por meio de um serviço proxy que é executado localmente no computador, mas utiliza regras de filtragem de conteúdo de uma fonte central.

pescoço longo
fonte
2
  • Lista negra

Crie uma lista de sites que os usuários não podem acessar.

Pro: Bloqueie serviço específico.

Contras: Uma grande lista, às vezes pode prejudicar o desempenho do firewall do sistema (geralmente o faz!). Às vezes, isso pode ser ignorado.

  • WhiteList

Em vez de depender de uma grande lista de sites na lista negra, algumas empresas usam uma lista de permissões, na qual os usuários podem acessar apenas sites da lista de permissões.

Pro: fácil de gerenciar.

Contras: isso prejudica a produtividade.

  • Bloqueie o tamanho do envio de informações (POST / GET).

Alguns firewalls permitem bloquear o tamanho das informações enviadas, impossibilitando o envio de alguns arquivos.

Pro: Fácil de gerenciar.

Contras: alguns usuários podem ignorá-lo enviando arquivos em pequenos pedaços. Isso pode quebrar alguns sites, por exemplo, alguns sites de formas de win do Java e do Visual Studio enviam muitas informações regularmente.

  • Bloquear conexões não HTTP.

Pro: fácil de configurar.

Contras: poderia quebrar os sistemas atuais.

Na minha experiência, eu trabalhei para um banco. Os administradores bloquearam o acesso ao driver usb e acessaram alguns sites restritos (lista negra). No entanto, eu criei um arquivo php em um webhosting gratuito e posso carregar meus arquivos sem nenhum problema (usando um site comum). Levei 5 minutos para fazer isso.

Concordo com alguns comentários, é fácil e mais eficaz usar regras de recursos humanos.

Magallanes
fonte
Uma ideia recente era uma abordagem combinada: uma lista negra de HTTP, uma lista branca de HTTPS. Quanto às outras soluções: sempre será necessário testar o que pode ser implementado sem quebrar os sistemas existentes, porque isso difere de caso para caso.
marsze