퍼블릭 클라우드에 대한 직원 액세스 차단

우선, 이것이 내 생각이 아니라고 말하고 그러한 행동이 합리적인지 논의하고 싶지 않습니다.

그러나 회사의 경우 직원이 퍼블릭 클라우드 서비스에 액세스하지 못하게하는 방법이 있습니까? 특히 파일을 웹의 어느 곳에 나 업로드 할 수 없어야합니다.

HTTPS 차단은 첫 번째 간단하지만 매우 근본적인 솔루션 일 수 있습니다. 블랙리스트의 IP 주소를 사용하는 것만으로는 충분하지 않습니다. 아마도 콘텐츠 수준에서 트래픽을 필터링하려면 일종의 소프트웨어가 필요할 것입니다. HTTPS 트래픽을 필터링 할 수있는 프록시가 도움이 될 수 있습니다.

이것들은 지금까지 나의 생각입니다. 어떻게 생각해? 어떤 아이디어?

기본적으로 여기에는 세 가지 옵션이 있습니다.

1. 인터넷에서 사무실 / 사용자 연결 끊기

• "퍼블릭 클라우드"에 도달 할 수 없으면 아무것도 업로드 할 수 없습니다.
  
  

2. 사용자 액세스에 대해 걱정하는 특정 서비스의 블랙리스트를 작성하십시오.

• 원격으로 효과적이라면 이것은 엄청나게 커질 것입니다.
  • 기술에 정통한 사용자는 항상 그 길을 찾을 수있을 것입니다. 인터넷 연결을 통해 전 세계 어디서나 내 컴퓨터에 연결할 수 있습니다. 예를 들어 행운을 빕니다.
    
    

3. 기술의 한계를보다 합리적으로 / 인식하게하십시오.

• 이것은 당신의 생각이 아니지만 일반적으로 경영진에게 이와 같은 솔루션 구현의 함정과 비용을 제공하면 더 나은 접근 방식에 더 개방적입니다.

  • 때때로 이것은 규정 준수 또는 "단순한 모양"이며 가장 인기있는 서비스를 차단하는 것에 만족합니다
  • 때때로 그들은 진정으로 그들의 요청이 얼마나 미친 지 이해하지 못하고 이해할 수있는 용어로 말해야합니다.
    • 컴퓨터 보안 공급 업체에서 일할 때 한 명의 고객이 있었기 때문에 직원이 AV 에이전트와의 기밀 정보 유출을 막을 수있는 방법을 제공하고자했습니다. 나는 스마트 폰을 꺼내서 내 스크린 사진을 찍어 그가 어떻게 막을 수 있는지, 심지어 종이에 정보를 적을 수있는 방법을 물었다.
    • 군대가 매닝을 멈출 수 없었고 NSA가 스노우 든을 멈출 수 없었던 경우 뉴스와 최근 사건을 설명에 사용하십시오.

물론 회사 네트워크를 인터넷에서 분리하지 않으면 완전히 차단할 수있는 방법이 없습니다.

당신이 경우 정말 작동합니다 뭔가 원하는 대부분 하면서 시간을 대부분 투명을, 당신은 깊은 냄새 패킷에 필요합니다 . 암호화되지 않은 통신을위한 MITM (Man-in-the-Middle) SSL / TLS 프록시를 설정하고 이들 중 하나를 통과하지 않는 모든 트래픽을 차단하십시오.

• HTTP PUT 요청 차단
• content-type이 application / x-www-form-urlencoded 또는 multipart / form-data가 아닌 모든 HTTP POST 요청을 차단하십시오.
• multipart / form-data 유형의 HTTP POST 요청의 경우 컨텐츠 파일이 "file"인 필드를 제거하십시오 (그러나 다른 필드는 통과 시키십시오).
• FTP, BitTorrent 및 SMTP 트래픽 차단
• 주요 웹 메일 서비스 및 주요 공개 파일 스토리지 사이트에 대한 모든 트래픽을 차단하십시오.

보시다시피, 이것은 거대하고 고통스러운 사업입니다. 그것은 또한 무적입니다 : 나는 이것을 작성하는 동안에도 몇 가지 해결 방법을 생각하고 있습니다.이 중 일부는 사용자의 웹 연결을 근본적으로 끊지 않고는 처리 할 수 ​​없으며 아마도 내가하지 않은 더 많은 의견이있을 것입니다 에 대해 생각하다. 그러나 파일 업로드를 제거하는 가장 쉬운 방법은 걸러 내면서 대부분의 트래픽을 통과 시켜야합니다 .

결론은 이것이 가치보다 더 문제가 많다는 것입니다.

가장 좋은 대답은 상사와 일종의 협상에 참여하는 것입니다. 실제로 원하는 것을 찾아야합니다 (무역 비밀 보호 또는 책임 방지 등). 왜 이러한 실행 불가능한 기술적 조치로 원하는 결과를 얻지 못하는지를 지적하십시오. 그런 다음 실행 불가능한 기술적 조치를 포함하지 않는 문제에 대한 솔루션을 해결할 수 있습니다.

이 토론에서 이데올로기에 대해 걱정하지 마십시오.해야 할 일과 할 일에 초점을 맞추기 만하면됩니다 . 거기에서 필요한 모든 주장을 찾을 수있을 것입니다. 이는 의심 할 여지없이 당신과 당신의 상사 모두를 실망시킬 것이지만, 그들에 대한 가치 판단을 통과시키지 않아야합니다. ).

HopelessN00b가 말한 것. 방금 추가하고 싶었습니다.

정부 기관에서 직장에 친구가 있는데 카메라가 달린 핸드폰을 사무실로 가져갈 수 없습니다. 그녀는 보통 "카메라가 달린 핸드폰을 소유 할 수 없다"고 말합니다. 만약 그녀가 그녀의 세포를 가지고 갈 수 없다면, 왜 자신의 세포를 가지고 있습니까? 카메라 가없는 핸드폰을 찾는 데 어려움 이 있습니다.

나는 관리 파시즘을 통해이 문제를 "해결"할 수있는 다른 높은 보안 유형의 장소에서 일했습니다 .

• 워크 스테이션에서 개인 이메일에 액세스하는 것은 공식적인 정책입니다.
• 워크 스테이션에서 클라우드 서비스에 액세스하는 공식 정책은 발포입니다.
• 썸 드라이브, 아이팟 또는 휴대폰을 워크 스테이션에 연결하는 공식 정책은 발포입니다.
• 워크 스테이션에서 소셜 미디어에 액세스하는 것은 공식적인 정책입니다.
• 워크 스테이션에 무단 소프트웨어를 설치하는 것이 공식적인 정책입니다.
• 워크 스테이션에서 개인 온라인 뱅킹에 액세스하는 것이 공식적인 정책입니다.
• 대부분의 사이트가 차단 된 서사적 인 방화벽 / 프록시. 예를 들어 facebook.com에 액세스하려고하면 "이 사이트는 ETRM에 의해 차단되었습니다"라는 화면이 나타납니다. 때때로 스택 오버플로와 같은 것을 "해킹"으로 차단했습니다.
• 일부 "범죄"는 팀 전체에 전송 된 이메일로, 승인되지 않은 사이트에 액세스했음을 나타냅니다 (이번에는 발사와 반대로). ( "Katherine Villyard 는 오후 3시 21 분에 http://icanhas.cheezburger.com/ 에 액세스 했습니다!")
• 모든 신입 사원에게 이러한 규칙을 설명하는 "보안 정책"수업을 강요하고 사람들이이 규칙에 대해 정기적으로 재교육을 받도록 강요합니다. 그런 다음 퀴즈를 풀고 통과시킵니다.

행정 파시즘에 의존하는 장소는 일반적으로 내 경험상 기술적 인 수단을 통해 이러한 규칙을 백업하려고 시도합니다. 예를 들어, 엄지 드라이브를 연결하면 USB가 비활성화되지 않는다고합니다. 그들은 https가 아닌 http를 통해 Facebook을 차단합니다. 그리고 HopelessN00b가 지적했듯이, 정통한 사용자는 이것을 알고 조롱합니다.

실제로 내부 네트워크가 동시에 인터넷에 노출되지 않을 것으로 예상되는 경우 간단한 솔루션이 있습니다.

PC는 인터넷 액세스를 완전히 차단해야합니다. 모든 USB 포트 차단 등

인터넷에 접속하려면 사람들은 다른 컴퓨터를 사용하거나 다른 네트워크에 연결되어 있거나 RDP를 통해 인터넷에 액세스 할 수있는 터미널 서버에 연결해야합니다. RDP를 통해 클립 보드를 비활성화하고 창 공유가 없습니다. 이렇게하면 사용자는 인터넷 터미널 서버에 파일을 복사 할 수 없으므로 파일을 보낼 수 없습니다.

내부 PC에서 이메일을 허용하는 경우 가장 큰 허점입니다.

당신은 당신과 반쪽이 화난 용에 의해 쫓기는 경우, 당신은 용보다 더 빨리 달릴 필요가없고, 반쪽보다 더 빨라야한다는 오래된 농담을 알고 있습니까? 악의적이지 않은 사용자 *를 가정 할 경우 퍼블릭 클라우드에 대한 액세스를 제한 할 필요가 없습니다. 퍼블릭 클라우드의 유용성은 데스크톱이 아닌 데이터 액세스에 대한 엔터프라이즈 솔루션의 유용성보다 낮게 만드는 것으로 충분합니다 . 올바르게 구현하면 악성이 아닌 누출의 위험이 급격히 줄어들고 비용의 일부만으로도 가능합니다.

대부분의 경우 간단한 블랙리스트로 충분합니다. Google 드라이브, Dropbox 및 Apple 클라우드를 설치하십시오. 또 다른 클라우드 서비스를 구축하는 대부분의 핫 스타트 업은 자체 데이터 센터를 구축하지 않습니다. 퍼블릭 클라우드에 들어가는 방법을 알고있는 직원 수를 90 %에서 15 %로 줄였습니다 (매우 대략적인 수치는 산업마다 다름). 적절한 오류 메시지를 사용하여 퍼블릭 클라우드가 금지 된 이유를 설명하면 원하는 검열에 대한 인상이 줄어 듭니다 (슬프게도 항상 사용자가 이해하지 못하는 사용자가 있음).

나머지 15 %는 여전히 블랙리스트에없는 제공자에게 도달 할 수 있지만, 그렇게하지 않을 것입니다. 구글 드라이브와 공동은 강력한 긍정적 인 네트워크 효과 (기술적 인 종류가 아닌 경제적 인 종류)의 영향을 받는다. 모두 같은 2-3 서비스를 사용하므로 어디에서나 구축 할 수 있습니다. 사용자는 이러한 서비스를 포함하여 편리하고 능률화 된 워크 플로우를 구축합니다. 대체 클라우드 제공자를 이러한 워크 플로우에 통합 할 수없는 경우 사용자는이를 사용할 인센티브가 없습니다. 또한 캠퍼스 외부의 실제 위치 (보안이 필요한 경우 VPN 사용)에서 액세스 할 수있는 중앙 위치에 파일을 저장하는 등 클라우드의 가장 기본적인 사용을위한 기업 솔루션이 있기를 바랍니다.

이 솔루션에 많은 측정 및 분석 기능을 추가하십시오. (이것은 항상 사용자가 걱정하는 곳에 필요합니다). 특히 의심스러운 패턴을 보이는 경우 트래픽의 샘플을 가져옵니다 (동일한 도메인으로 지정된 문서를 업로드하기에 충분한 버스트의 업스트림 트래픽). 식별 된 의심스러운 도메인을 사람이 살펴보고 클라우드 공급자 인 경우 이유를 찾으십시오.사용자는 그것을 사용하고, 균등 한 유용성을 가진 대안을 제공하는 것에 대해 경영진과 이야기하고, 문제가있는 사용자에게 대안에 대해 교육합니다. 회사 문화를 통해 처음으로 징계 조치를 시행하지 않고 잡힌 사용자를 부드럽게 재교육 할 수 있다면 좋을 것입니다. 그러면 특히 열심히 숨기려고하지 않을 것입니다. 편차를 쉽게 잡고 상황을 처리 할 수 ​​있습니다. 보안 위험을 줄이면서도 사용자가 자신의 작업을 효율적으로 수행 할 수있는 방식으로

합리적인 관리자 **는이 블랙리스트가 생산성 손실로 이어질 것임을 이해할 것입니다. 사용자는 퍼블릭 클라우드를 사용해야 할 이유가있었습니다. 생산성을 높이기 위해 인센티브가 제공되었고 편리한 워크 플로는 생산성을 향상 시켰습니다 (지급하지 않은 초과 근무 시간 포함). 생산성 손실과 보안 위험 사이의 균형을 평가하고 상황을 그대로 내버려 두거나 블랙리스트를 구현하거나 비밀 서비스에 적합한 조치를 취해야하는지 여부를 알려주는 것은 관리자의 임무입니다. 매우 불편하고 여전히 100 % 보안을 제공하지는 않습니다).

[*] 나는 직업이 보안 인 사람들이 범죄 의도를 먼저 생각한다는 것을 알고 있습니다. 실제로, 결정된 범죄자는 중지하기가 훨씬 어렵고 악의적이지 않은 사용자보다 훨씬 더 심각한 피해를 입힐 수 있습니다. 그러나 실제로는 침투하는 조직이 거의 없습니다. 대부분의 보안 문제는 자신의 행동의 결과를 깨닫지 못하는 선의의 사용자와 관련이 있습니다. 그리고 그들 중 많은 수가 있기 때문에, 그들이 직면하는 위협은 더 위험하지만 훨씬 더 희귀 한 스파이만큼 심각하게 받아 들여 져야합니다.

[**] 당신의 상사가 이미 그 요구를했다면, 그들이 합리적인 유형이 아닐 가능성이 있다는 것을 알고 있습니다. 그들이 합리적이지만 잘못 인도된다면, 그것은 좋습니다. 그들이 불합리하고 완고하다면, 이것은 불행한 일이지만, 그들과 협상 할 수있는 방법을 찾아야합니다. 그러한 부분적인 해결책을 제시하면 받아 들일 수 없어도, 전략적으로 잘 움직일 수 있습니다. 제대로 제시하면, 여러분이 "나의 편"에 있고, 우려를 진지하게 받아들이고, 검색 할 준비가되어 있음을 보여줍니다 기술적으로 불가능한 요구 사항에 대한 대안.

경영진이 판도라의 상자를 닫으라고 요구하고 있습니다.

원칙적으로 알려진 모든 가능한 메커니즘에 대한 문서 업로드를 막을 수는 있지만 제로 데이 익스플로잇 (또는 이와 동등한)이 사용되는 것을 막을 수는 없습니다.

즉, 사용자와 워크 스테이션을 모두 식별하는 인증 방화벽을 구현하여 원하는 ACL로 액세스를 제한 할 수 있습니다. 프로세스 관리에 도움이되는 다른 답변에 설명 된대로 평판 서비스를 통합 할 수 있습니다.

진짜 질문은 이것이 보안 에 관한 것인지 아니면 통제에 관한 것인지를 묻는 것 입니다 . 첫 번째 경우 관리자가 지불 할 준비가 된 비용 임계 값을 이해해야합니다. 그것이 두 번째 인 경우, 작은 예외를 제외하고는 대형 가시 극장이 당신이 배달 한 것을 확신시키기에 충분할 것입니다.

BlueCoat Secure Web Gateway와 같은 컨텐츠 필터링 장치 또는 서비스 또는 Palo Alto 방화벽과 같은 컨텐츠 필터링 기능이있는 방화벽이 필요합니다. 이와 같은 제품에는 온라인 스토리지를 포함하는 광범위한 카테고리 필터가 있습니다.

BlueCoat는 랩톱 사용자가 자신의 컴퓨터에서 로컬로 실행되는 프록시 서비스를 통해 강제로 연결할 수있는 클라우드 기반 서비스도 제공하지만 중앙 소스에서 콘텐츠 필터링 규칙을 따릅니다.

• 블랙리스트

사용자가 액세스 할 수없는 사이트 목록을 만듭니다.

프로 : 특정 서비스를 차단합니다.

단점 : 큰 목록으로, 때로는 시스템 방화벽의 성능을 떨어 뜨릴 수 있습니다 (보통 그렇지 않습니다!). 때때로 우회 될 수 있습니다.

• 화이트리스트

블랙리스트 사이트의 큰 목록에 의존하는 대신 일부 회사는 사용자가 화이트리스트 사이트에만 액세스 할 수있는 화이트리스트를 사용합니다.

프로 : 관리하기 쉽습니다.

단점 : 생산성이 떨어집니다.

• 정보 전송 크기 (POST / GET)를 차단하십시오.

일부 방화벽에서는 정보 전송 크기를 차단하여 일부 파일을 전송할 수 없습니다.

프로 : 관리하기 쉽습니다.

단점 : 일부 사용자는 작은 청크로 파일을 보내서이를 우회 할 수 있습니다. 예를 들어 일부 Java 및 Visual Studio의 winforms 사이트는 정기적으로 많은 정보를 전송하는 등 일부 웹 사이트를 손상시킬 수 있습니다.

• 비 HTTP 연결을 차단하십시오.

프로 : 구성하기 쉽습니다.

단점 : 현재 시스템을 손상시킬 수 있습니다.

내 경험상, 나는 은행에서 일했다. 관리자는 USB 드라이버에 대한 액세스를 차단하고 일부 제한된 사이트 (블랙리스트)에 액세스합니다. 그러나 무료 웹 호스팅에서 PHP 파일을 만들었으며 (일반 웹 사이트를 사용하여) 문제없이 파일을 업로드 할 수 있습니다. 그렇게하는 데 5 분이 걸렸습니다.

나는 몇 가지 의견에 동의하며 인적 자원 규칙을 사용하는 것이 쉽고 효과적입니다.