บล็อกการเข้าถึงของพนักงานไปยังคลาวด์สาธารณะ


29

ก่อนอื่นให้ฉันบอกว่านี่ไม่ใช่ความคิดของฉันและฉันไม่ต้องการพูดคุยว่าการกระทำดังกล่าวมีเหตุผลหรือไม่

อย่างไรก็ตามสำหรับ บริษัท มีวิธีป้องกันพนักงานให้เข้าถึงบริการคลาวด์สาธารณะหรือไม่ โดยเฉพาะอย่างยิ่งพวกเขาไม่สามารถอัปโหลดไฟล์ไปยังสถานที่ใด ๆ บนเว็บ

การบล็อก HTTPS อาจเป็นวิธีการแก้ปัญหาที่แรกเรียบง่าย แต่รุนแรงมาก การใช้บัญชีดำของที่อยู่ IP จะไม่เพียงพอ อาจจำเป็นต้องใช้ซอฟต์แวร์บางชนิดในการกรองปริมาณข้อมูลในระดับเนื้อหา พร็อกซีอาจมีประโยชน์เพื่อให้สามารถกรองการรับส่งข้อมูล HTTPS

นี่คือความคิดของฉันจนถึงตอนนี้ คุณคิดอย่างไร? ความคิดใด ๆ


2
หนึ่งในลูกค้าของเรา (เราทำสิ่งอื่น ๆ เพื่อพวกเขา) ปรับการรับส่งข้อมูลทั้งหมดผ่านพร็อกซีซึ่งถูกสังเกตการณ์โดยbluecoat.comเว็บไซต์จำนวนมาก (พื้นที่จัดเก็บไฟล์เกมแฮ็คสื่อ ... ) ถูกบล็อก ฉันเกลียดจริง ๆ ...
Reeno

45
ฉันเข้าใจว่าทำไมคุณถึงบอกว่าคุณไม่ต้องการที่จะพูดคุยเรื่องนี้ แต่นั่นก็เป็นส่วนที่ใหญ่ที่สุดของรายละเอียดงานของระบบดูแลระบบที่ดี: การพูดความจริงต่ออำนาจ บางครั้งความคิดก็เป็นเรื่องง่ายเหมือนคนโง่ ในบางครั้งมันไม่ใช่ความคิดที่ไม่ดี แต่เป็นความคิดทางสังคม / ธุรกิจและไม่เหมาะกับโซลูชันด้านเทคนิค ในทั้งสองกรณีสิ่งเดียวที่ถูกต้องสำหรับระบบดูแลระบบที่ต้องทำคือหันหลังและพูดว่า " ไม่ "
MadHatter รองรับโมนิก้า

4
@ MadHatter ถึงกระนั้นนอกเหนือจากสัญชาตญาณเริ่มต้นที่เราแบ่งปันฉันพยายามอย่างน้อยก็นำเสนอสิ่งที่เป็นไปได้ทางเทคนิค นอกจากนั้นฉันเห็นด้วย
marsze

8
นี่ไม่ใช่สิ่งที่นโยบายการจัดการและการใช้งานที่ยอมรับได้มีไว้เพื่อ?
user9517 รองรับ GoFundMonica

6
ความเป็นไปได้: คอมพิวเตอร์ของพวกเขาไม่เคยเชื่อมต่อกับอินเทอร์เน็ตพวกเขาไม่ได้รับอนุญาตให้ใช้กล้องถ่ายรูป (รวมถึงโทรศัพท์มือถือชัด ๆ ) หรืออุปกรณ์บันทึก (เช่นปากกา) ในสำนักงานสำนักงานที่ไม่มีหน้าต่างที่คุณสามารถเปิดหรือมองผ่าน นอกจากนี้ผู้ใช้ของคุณจะต้องทำการค้นหาตัวถังและลบหน่วยความจำทุกครั้งที่ออกจากสำนักงานไม่เช่นนั้นพวกเขาอาจจดจำบางสิ่งไว้บนอินเทอร์เน็ตในภายหลัง!
njzk2

คำตอบ:


71

คุณมีสามตัวเลือกโดยทั่วไปที่นี่

1. ตัดการเชื่อมต่อสำนักงาน / ผู้ใช้ของคุณจากอินเทอร์เน็ต

  • หากพวกเขาไม่สามารถไปที่ "คลาวด์สาธารณะ" พวกเขาไม่สามารถอัปโหลดอะไรไปยังมัน

2. รวบรวมบัญชีดำของบริการเฉพาะที่คุณกังวลเกี่ยวกับผู้ใช้ที่เข้าถึง

  • สิ่งนี้จะมีขนาดใหญ่มากหากมันหมายถึงการมีประสิทธิภาพจากระยะไกล
    • ผู้ใช้ที่มีความเชี่ยวชาญด้านเทคโนโลยีจะสามารถค้นหาวิธีการได้เสมอ - ฉันสามารถเชื่อมต่อคอมพิวเตอร์จากที่ใดก็ได้ในโลกด้วยการเชื่อมต่ออินเทอร์เน็ตดังนั้น ... ขอให้โชคดีที่บล็อกฉัน

3. ทำสิ่งที่สมเหตุสมผลมากกว่า / รับรู้ถึงข้อ จำกัด ของเทคโนโลยี

  • นี่ไม่ใช่ความคิดของคุณ แต่โดยทั่วไปถ้าคุณให้การจัดการกับข้อผิดพลาดและค่าใช้จ่ายในการใช้โซลูชันเช่นนี้พวกเขาจะเปิดกว้างมากขึ้นเพื่อแนวทางที่ดีกว่า

    • บางครั้งสิ่งนี้เป็นสิ่งที่ปฏิบัติตามกฎระเบียบหรือ "เพียงแค่สำหรับการปรากฏตัว" และพวกเขามีความสุขกับการปิดกั้นบริการยอดนิยม
    • บางครั้งพวกเขาไม่เข้าใจอย่างแท้จริงว่าคำขอของพวกเขาเป็นบ้าและต้องการให้คุณบอกพวกเขาในแง่ที่พวกเขาสามารถเข้าใจได้
      • มีลูกค้าหนึ่งครั้งเมื่อฉันทำงานให้กับผู้จำหน่ายระบบรักษาความปลอดภัยคอมพิวเตอร์ที่ต้องการให้เราจัดเตรียมวิธีในการป้องกันไม่ให้พนักงานรั่วไหลข้อมูลลับกับตัวแทน AV ของเรา ฉันเปิดสมาร์ทโฟนของฉันถ่ายรูปหน้าจอของฉันและถามเขาว่าเขาจะป้องกันได้อย่างไรหรือแม้แต่เขียนข้อมูลลงบนกระดาษ
      • ใช้ข่าวและเหตุการณ์ล่าสุดในคำอธิบายของคุณ - ถ้ากองทัพไม่สามารถหยุดแมนนิ่งและ NSA ไม่สามารถหยุดสโนว์เดนสิ่งที่ทำให้คุณคิดว่าเราสามารถทำได้และคุณคิดว่าแม้แต่ความพยายามจะเสียค่าใช้จ่ายเท่าไหร่

11
คำตอบที่ดี. คำขอไม่สามารถจัดการกับนอกจริงของ 2.a - ใช้ WHITELIST และจากนั้นจ้างคนเพื่อจัดการมัน;) เพราะมนุษย์มันจะทำงานมาก อาจจะน้อยกว่าบัญชีดำ และยังไม่ประสบความสำเร็จ (ความคิดที่ดีกับสมาร์ทโฟน) คำขอเหนือจริง
TomTom

1
@TomTom ใช่ฉันคิดถึงรายการที่อนุญาต แต่ทุกที่ที่ฉันเคยเห็นรายการที่อนุญาตของส่วนต่าง ๆ ของอินเทอร์เน็ตที่พวกเขาต้องการเข้าถึงนั้นใหญ่กว่าบัญชีดำของบริการที่พวกเขากลัวอย่างไร้เหตุผล / ไม่ต้องการพนักงาน การเข้าถึง
HopelessN00b

1
ฉันคิดว่ามันขึ้นอยู่กับ ตัวอย่างเช่นใน บริษัท ของฉันรายการที่อนุญาตอาจเป็น 300 รายการ จำเป็นสำหรับธุรกิจ บัญชีดำจะเริ่มจัดการทุกอย่าง ด้านบนรายการที่อนุญาตที่คุณชนะ (ใช้ได้ทุกครั้งเริ่มต้นด้วย 0 รายการ) - บัญชีดำที่คุณไม่รู้ว่าจะเริ่มจากตรงไหน แต่โดยทั่วไปแล้วสิ่งเหล่านี้เป็นความพยายามที่ไร้ประโยชน์
TomTom

3
IMHO การปิดกั้น 10 ไซต์ที่ชัดเจนที่สุดน่าจะบรรลุถึง 95% ของการจัดการที่เกิดขึ้นหลังจากนั้น ไม่มีใครสนใจเกี่ยวกับผู้สนใจไม่กี่คนที่จะเจาะอุโมงค์รอบ ๆ บล็อก
Steve Bennett

3
@SteveBennett แม้ว่านี่จะเป็นจริง แต่ก็ไม่ปลอดภัยที่จะสมมติว่าฝ่ายบริหารไม่สนใจ 5% และ / หรือคนที่สามารถและจะหลีกเลี่ยงระบบ หากทรัพยากรด้านเทคนิคไม่อนุญาตให้ฝ่ายบริหารทราบเกี่ยวกับข้อ จำกัด ของระบบมันจะเป็นแหล่งข้อมูลทางเทคนิคที่มีหัวหน้าม้วนเมื่อมีคนอัปโหลด IP ของ บริษัท ทั้งหมดไปยัง BitTorrent (หรือเหตุการณ์ใดก็ตามที่นำเรื่องนี้กลับมาพิจารณา
HopelessN00b

30

แน่นอนว่าจะไม่มีวิธีการปิดกั้นอย่างสมบูรณ์เว้นแต่เครือข่ายขององค์กรจะต้องถูกตัดการเชื่อมต่อจากอินเทอร์เน็ต

หากคุณจริงๆต้องการสิ่งที่ควรจะทำงานมากที่สุดของเวลาในขณะที่เป็นส่วนใหญ่โปร่งใสคุณจะต้องแพ็คเก็ตลึกสูดอากาศ ตั้งค่าพร็อกซี SSL / TLS แบบคนกลางรวมถึงอีกอันสำหรับการสื่อสารที่ไม่ได้เข้ารหัสและบล็อกทราฟฟิกทั้งหมดที่ไม่ผ่านหนึ่งในนั้น

  • บล็อกคำขอ HTTP PUT
  • บล็อกคำขอ HTTP POST ทั้งหมดที่ประเภทเนื้อหาไม่ใช่แอปพลิเคชัน / x-www-form-urlencoded หรือ multipart / form-data
  • สำหรับคำร้องขอ HTTP POST ของประเภท multipart / form-data ให้ตัดออกฟิลด์ด้วย content-disposition ของ "file" (แต่ปล่อยให้ฟิลด์อื่นผ่าน)
  • บล็อกการรับส่งข้อมูล FTP, BitTorrent และ SMTP
  • บล็อกทราฟฟิกทั้งหมดไปยังบริการเว็บเมล์หลักและไปยังไซต์เก็บไฟล์สาธารณะสำคัญ

อย่างที่คุณเห็นนี่เป็นงานที่ใหญ่โตและเจ็บปวด มันก็ยังห่างไกลจากคงกระพัน : ฉันคิดว่าหลายวิธีการแก้ปัญหาแม้ในขณะที่ฉันเขียนนี้บางส่วนที่ไม่สามารถจัดการได้โดยไม่ทำลายการเชื่อมต่อเว็บของผู้ใช้โดยพื้นฐานและอาจจะมีความคิดเห็นแสดงอีกมากมายที่ฉันไม่ได้ คิดถึง. แต่ควรปล่อยให้มีการรับส่งข้อมูลมากที่สุดในขณะที่กรองวิธีที่ง่ายที่สุดในการกำจัดการอัปโหลดไฟล์

บรรทัดล่างคือว่ามันเป็นปัญหามากกว่าที่มันคุ้มค่า

คำตอบที่ดีที่สุดจะใส่ลงไปในชนิดของการเจรจาต่อรองกับผู้บังคับบัญชาของคุณ: หาสิ่งที่พวกเขาจริงๆต้องการ (น่าจะป้องกันความลับทางการค้าหรือการป้องกันความรับผิดอย่างใดอย่างหนึ่ง) และชี้ให้เห็นว่าทำไมมาตรการทางเทคโนโลยีเหล่านี้ทำไม่ได้จะไม่ได้รับสิ่งที่พวกเขาต้องการ จากนั้นคุณสามารถหาวิธีแก้ไขปัญหาที่ไม่เกี่ยวข้องกับมาตรการทางเทคโนโลยีที่ใช้ไม่ได้

ไม่ต้องกังวลเกี่ยวกับอุดมการณ์ในการอภิปรายเหล่านี้: สิ่งที่คุณต้องทำคือการมุ่งเน้นไปที่สิ่งที่จะทำงานและสิ่งที่จะไม่ คุณจะพบข้อโต้แย้งทั้งหมดที่คุณต้องการที่นั่นและแม้ว่าจะไม่มีข้อสงสัยใด ๆ ที่จะทำให้คุณและเจ้านายของคุณรอดพ้นจากการถูกตัดสินได้ แต่จะหลีกเลี่ยงการตัดสินที่มีคุณค่าต่อพวกเขา (ซึ่งอาจสมควรได้รับ )


4
+1 สำหรับการให้คำแนะนำการใช้งานที่เป็นประโยชน์และยังนำเสนอมุมมองเกี่ยวกับปัญหานี้จากมุมมองที่กว้างขึ้น!
marsze

26

สิ่งที่ HopelessN00b พูด ฉันแค่อยากจะเพิ่มว่า:

ฉันมีเพื่อนที่ทำงานที่หน่วยงานราชการซึ่งเธอไม่ได้รับอนุญาตให้นำโทรศัพท์มือถือพร้อมกล้องมาที่สำนักงาน เธอมักจะพูดว่า "ฉันไม่ได้รับอนุญาตให้ถือโทรศัพท์มือถือกับกล้อง" เพราะอย่างนั้น หากเธอไม่สามารถจับมือเธอไว้กับเธอทำไมต้องเป็นเจ้าของด้วย? เธอมีปัญหาในการหาโทรศัพท์มือถือที่ไม่มีกล้อง

ผมเคยทำงานสำหรับสถานที่การรักษาความปลอดภัยสูงชนิดอื่น ๆ ที่จะ "แก้" ปัญหานี้ผ่านทางลัทธิฟาสซิสต์การบริหาร :

  • นโยบายอย่างเป็นทางการที่เข้าถึงอีเมลส่วนตัวของคุณจากเวิร์กสเตชันของคุณเป็นความผิดฐานยิง
  • นโยบายอย่างเป็นทางการที่เข้าถึงบริการคลาวด์จากเวิร์กสเตชันของคุณเป็นความผิดฐานยิง
  • นโยบายอย่างเป็นทางการที่เสียบธัมบ์ไดรฟ์ iPod หรือโทรศัพท์มือถือเข้ากับเวิร์กสเตชันถือเป็นความผิดฐานยิง
  • นโยบายอย่างเป็นทางการที่เข้าถึงสื่อสังคมออนไลน์จากเวิร์คสเตชั่นของคุณเป็นความผิดฐานยิง
  • นโยบายอย่างเป็นทางการที่ติดตั้งซอฟต์แวร์ที่ไม่ได้รับอนุญาตบนเวิร์กสเตชันของคุณเป็นความผิดฐานยิง
  • นโยบายอย่างเป็นทางการที่เข้าถึงธนาคารออนไลน์ส่วนบุคคลของคุณจากเวิร์กสเตชันของคุณเป็นความผิดฐานยิง
  • ไฟร์วอลล์ / พร็อกซีขององค์กรมหากาพย์ที่ปิดกั้นไซต์เหล่านั้นส่วนใหญ่ / ส่วนใหญ่ ยกตัวอย่างเช่นความพยายามใด ๆ ในการเข้าถึง facebook.com จะแสดงข้อความ "ไซต์นี้ถูกบล็อกโดย ETRM" บางครั้งพวกเขาบล็อกสิ่งต่าง ๆ เช่น Stack Overflow ว่า "แฮ็ค" เช่นกัน
  • "ความผิด" บางอย่างได้รับอีเมลที่ส่งไปยังทีมงานทั้งหมดของคุณโดยระบุว่าคุณเข้าถึงเว็บไซต์ที่ไม่ได้รับอนุญาต (ตรงข้ามกับการยิง ... ในเวลานี้) ("Katherine Villyard เข้าถึงhttp://icanhas.cheezburger.com/เมื่อ15:21 !")
  • การบังคับให้จ้างใหม่ทั้งหมดเพื่อเข้าร่วมชั้นเรียน "นโยบายความปลอดภัย" อธิบายกฎเหล่านี้และบังคับให้ผู้คนต้องเรียนหลักสูตรทบทวนซ้ำตามกฎเหล่านี้ จากนั้นก็ตอบคำถามเหล่านั้น

สถานที่ที่ใช้ฟาสซิสต์ในการดูแลระบบโดยทั่วไปจะใช้ความพยายามอย่างคร่าวๆเพื่อสำรองข้อมูลกฎเหล่านี้ด้วยวิธีการทางเทคนิคเท่านั้นในประสบการณ์ของฉัน ตัวอย่างเช่นพวกเขาบอกว่าพวกเขาจะยิงคุณถ้าคุณเสียบธัมบ์ไดรฟ์ แต่พวกเขาไม่ได้ปิดการใช้งาน USB พวกเขาบล็อก Facebook ผ่าน http แต่ไม่ผ่าน https และอย่างที่ HopelessN00b ชี้ให้เห็นผู้ใช้ที่เข้าใจและเยาะเย้ยสิ่งนี้


2
มีวิธีแก้ไขปัญหาทางเทคนิคที่คุณวางใจได้ในการปิดการใช้งานอุปกรณ์ USB (เอเจนต์ AV ทุกอันที่ฉันเห็นในปีนี้สามารถทำได้อย่างมีประสิทธิภาพพอสมควร) หรือบล็อกการเข้าถึงเว็บไซต์ที่กำหนดไว้อย่างดี [บาง] ปัญหาสำหรับ OP คือ "public cloud" / "สถานที่ที่ผู้ใช้สามารถอัปโหลดข้อมูล" ไม่ใช่หมวดหมู่ที่กำหนดไว้อย่างดี (และจะไม่ถูกทุกเวลาเร็ว ๆ นี้) ดังนั้นเขาจึงไม่สามารถแม้แต่จะแนะนำ webfilter เป็นวิธีแก้ปัญหา ปัญหา ... เขาจะต้องสร้างบัญชีดำที่กำหนดเองหรือการจัดการ convice เพื่อดูเหตุผล
HopelessN00b

ฉันรู้และฉันเห็นด้วย แน่นอนฉันไม่ได้เสนอรายชื่อนั้นเพื่อรับรองว่าเป็นแนวทางปฏิบัติ :)
Katherine Villyard

9
ในทางเทคนิคคลาวด์สาธารณะจะรวมลูกไก่ทุกตัวเนื่องจากมันไม่สำคัญเลยที่จะเช่าเว็บไซต์และวางไฟล์ไว้ที่นั่น อุ๊ยตาย ปัญหาที่ไม่สามารถแก้ไขได้
TomTom

หลายปีที่ผ่านมาพนักงานในที่ทำงานของพ่อฉันไม่ได้รับอนุญาตให้พกโทรศัพท์ด้วยกล้องถ่ายรูปในสำนักงาน ในที่สุด บริษัท ก็เปลี่ยนไปใช้นโยบายอนุญาตให้ใช้โทรศัพท์ของ บริษัท (แบล็กเบอร์รี่ในเวลานั้นเป็นไอโฟนตอนนี้) แต่ไม่ใช่โทรศัพท์ส่วนตัว
Brian S

โทรศัพท์สมาร์ทโฟนจำนวนมากใช้กล้องแบบแยกส่วนที่สามารถถอดออกได้ด้วยความพยายามเล็กน้อย ไม่ใช่สิ่งที่คุณต้องการทำซ้ำ ๆ เพราะอาจต้องใช้เครื่องมือแปลก ๆ เพื่อความปลอดภัย แต่จะอนุญาตให้ใช้โทรศัพท์มือถือร่วมสมัยที่มีประโยชน์และมีประโยชน์ในพื้นที่ จำกัด
Pekka

19

ที่จริงแล้วมีวิธีง่ายๆที่คุณไม่คาดหวังว่าเครือข่ายภายในของคุณจะได้สัมผัสกับอินเทอร์เน็ตในเวลาเดียวกัน

พีซีของคุณจำเป็นต้องถูกบล็อกอย่างสมบูรณ์จากการเข้าถึงอินเทอร์เน็ต พอร์ต USB ทั้งหมดถูกบล็อค ฯลฯ

ในการเข้าสู่อินเทอร์เน็ตผู้คนจำเป็นต้องใช้คอมพิวเตอร์เครื่องอื่น - เชื่อมต่อกับเครือข่ายอื่น - หรือเชื่อมต่อผ่าน RDP ไปยัง Terminal Server ที่มีการเข้าถึงอินเทอร์เน็ต คุณปิดใช้งานคลิปบอร์ดบน RDP และไม่มีหน้าต่างแชร์ ด้วยวิธีนี้ผู้ใช้จะไม่สามารถคัดลอกไฟล์ไปยัง Internet Terminal Servers ดังนั้นจึงไม่สามารถส่งไฟล์ออกได้

นั่นทำให้อีเมล ... นั่นเป็นช่องโหว่ที่ใหญ่ที่สุดของคุณหากคุณอนุญาตอีเมลในพีซีภายใน


3
ฟังดูดี แต่น่าเศร้านั่นคือความจริง ค่อนข้างเป็นวิธีเดียวที่จะแก้ปัญหานี้
TomTom

2
เรามีโซลูชันนี้ (อินเทอร์เน็ตและอีเมลผ่านเทอร์มินัลเซิร์ฟเวอร์เท่านั้น) มีอยู่แล้วสำหรับชิ้นส่วนของ บริษัท ของเรา แต่สำหรับนักพัฒนาซอฟแวร์ที่มีการเข้าถึงอินเทอร์เน็ตที่ทุกคนจะเห็นได้ชัดว่าจะลำบากจริงๆ ...
marsze

@marsze - ฉันเห็นมันแก้ไขด้วย proxy whitelist ที่บางสิ่งที่โปรแกรมเมอร์ต้องการโดยตรงในกล่อง (เช่น Maven repo) ได้รับอนุญาตผ่าน proxy
ETL

1
ที่ทิ้งปากกาและกระดาษหรือหน่วยความจำเพียง
njzk2

1
@marsze ฉันทำงานกับ บริษัท ที่มีเครือข่ายแยกที่ทำสิ่งนี้โดยให้นักพัฒนาสองเครื่อง หนึ่งเนื้อสำหรับการทำงานการพัฒนาเชื่อมต่อกับเครือข่ายภายในเข้าถึงเท่านั้นและอีกหนึ่ง (ไคลเอนต์บางหรือกล่อง clunker เก่า) ที่เชื่อมต่อกับเครือข่ายที่มีอินเทอร์เน็ต วิธีแก้ปัญหาที่ง่ายและมีราคาแพงกว่า
HopelessN00b

5

คุณรู้ไหมว่าเรื่องตลกเก่า ๆ นั้นถ้าคุณกับฮาล์ฟลิงถูกไล่ล่าโดยมังกรโกรธคุณไม่จำเป็นต้องวิ่งเร็วกว่ามังกรคุณจะต้องเร็วกว่าฮาล์ฟลิงใช่ไหม สมมติว่าผู้ใช้ที่ไม่ประสงค์ร้าย * คุณไม่จำเป็นต้อง จำกัด การเข้าถึงคลาวด์สาธารณะมันก็เพียงพอที่จะทำให้การใช้งานของคลาวด์สาธารณะต่ำกว่าการใช้งานของโซลูชันระดับองค์กรที่คุณมีสำหรับการเข้าถึงข้อมูลที่ไม่ผูกมัด . การใช้งานอย่างถูกต้องจะช่วยลดความเสี่ยงของการรั่วไหลที่ไม่เป็นอันตรายและสามารถทำได้ด้วยค่าใช้จ่ายเพียงเล็กน้อย

ในกรณีส่วนใหญ่บัญชีดำแบบง่ายควรจะพอเพียง ใส่ไดรฟ์ Google, Dropbox และคลาวด์ของ Apple ลงไป นอกจากนี้ยังปิดกั้นการรับส่งข้อมูลไปยัง Amazon AWS ซึ่งส่วนใหญ่เป็นผู้เพิ่งเริ่มต้นที่สร้างบริการคลาวด์อื่นซึ่งไม่ได้สร้างศูนย์ข้อมูลของตนเอง คุณเพิ่งลดจำนวนพนักงานที่รู้วิธีเข้าสู่คลาวด์สาธารณะจาก 90% เป็น 15% (ตัวเลขคร่าวๆจะแตกต่างกันไปตามอุตสาหกรรม) ใช้ข้อความแสดงข้อผิดพลาดที่เหมาะสมเพื่ออธิบายว่าทำไมระบบคลาวด์สาธารณะจึงถูกห้ามซึ่งจะลดความประทับใจในการเซ็นเซอร์กาม (น่าเศร้าที่มีผู้ใช้ไม่เต็มใจที่จะเข้าใจเสมอ)

ส่วนที่เหลืออีก 15% ยังคงสามารถเข้าถึงผู้ให้บริการที่ไม่ได้อยู่ในบัญชีดำ แต่พวกเขาอาจไม่สนใจที่จะทำ Google ไดรฟ์และผู้ร่วมงานต้องได้รับผลกระทบเครือข่ายในเชิงบวกที่แข็งแกร่ง (ประเภทเศรษฐกิจไม่ใช่แบบเชิงเทคนิค) ทุกคนใช้บริการ 2-3 รายการเดียวกันดังนั้นพวกเขาจึงสร้างขึ้นในทุกที่ ผู้ใช้สร้างเวิร์กโฟลว์ที่สะดวกและคล่องตัวซึ่งรวมถึงบริการเหล่านี้ หากผู้ให้บริการคลาวด์ทางเลือกไม่สามารถรวมเข้ากับเวิร์กโฟลว์ดังกล่าวผู้ใช้ไม่มีแรงจูงใจที่จะใช้ และฉันหวังว่าคุณจะมีโซลูชันองค์กรสำหรับการใช้งานขั้นพื้นฐานที่สุดของคลาวด์เช่นการจัดเก็บไฟล์ในที่ส่วนกลางเข้าถึงได้จากสถานที่ตั้งภายนอกมหาวิทยาลัย (ด้วย VPN หากจำเป็นต้องมีการรักษาความปลอดภัย)

เพิ่มในโซลูชันนี้เพื่อการวัดและวิเคราะห์ที่ดี (สิ่งนี้จำเป็นเสมอเมื่อผู้ใช้มีความกังวล) ใช้ตัวอย่างของการรับส่งข้อมูลโดยเฉพาะอย่างยิ่งหากแสดงรูปแบบที่น่าสงสัย (ทราฟฟิกทราฟฟิกจะระเบิดขนาดใหญ่พอที่จะอัปโหลดเอกสารกำกับที่โดเมนเดียวกัน) มองมนุษย์ด้วยโดเมนที่น่าสงสัยที่ระบุและถ้าคุณพบว่ามันเป็นผู้ให้บริการคลาวด์ลองหาสาเหตุผู้ใช้กำลังใช้งานอยู่พูดคุยกับผู้บริหารเกี่ยวกับการจัดหาทางเลือกที่มีความสามารถในการใช้งานอย่างเท่าเทียมกัน มันจะดีถ้าวัฒนธรรมองค์กรของคุณช่วยให้คุณสามารถให้ความรู้แก่ผู้ใช้ที่ถูกจับได้โดยไม่ต้องใช้มาตรการทางวินัยในครั้งแรก - จากนั้นพวกเขาจะไม่พยายามซ่อนตัวจากคุณอย่างหนักเป็นพิเศษและคุณจะสามารถจับความเบี่ยงเบน ในลักษณะที่ช่วยลดความเสี่ยงด้านความปลอดภัย แต่ยังช่วยให้ผู้ใช้สามารถทำงานได้อย่างมีประสิทธิภาพ

ผู้จัดการที่สมเหตุสมผล ** จะเข้าใจว่าบัญชีดำนี้จะนำไปสู่การสูญเสียผลผลิต ผู้ใช้มีเหตุผลที่จะใช้ระบบคลาวด์สาธารณะ - พวกเขาได้รับแรงจูงใจให้ทำงานได้อย่างมีประสิทธิภาพและเวิร์กโฟลว์ที่สะดวกเพิ่มผลผลิตของพวกเขา (รวมถึงจำนวนของค่าล่วงเวลาที่ค้างชำระที่พวกเขาเต็มใจทำ) มันเป็นหน้าที่ของผู้จัดการในการประเมินการแลกเปลี่ยนระหว่างการสูญเสียผลิตภาพและความเสี่ยงด้านความปลอดภัยและบอกคุณว่าพวกเขายินดีที่จะให้สถานการณ์ตามที่เป็นอยู่เพื่อใช้บัญชีดำหรือไปใช้มาตรการลับที่คุ้มค่ากับบริการ ไม่สะดวกอย่างรุนแรงและยังไม่ให้ความปลอดภัย 100%)


[*] ฉันรู้ว่าคนที่มีหน้าที่รักษาความปลอดภัยต้องนึกถึงความผิดทางอาญาก่อน และแน่นอนว่าอาชญากรที่กำหนดนั้นยากที่จะหยุดยั้งและสามารถสร้างความเสียหายที่เลวร้ายยิ่งกว่าผู้ใช้ที่ไม่ประสงค์ร้าย แต่ในความเป็นจริงมีองค์กรไม่กี่แห่งที่ถูกแทรกซึม ปัญหาด้านความปลอดภัยส่วนใหญ่เกี่ยวข้องกับความโง่เขลาของผู้ใช้ที่มีความหมายดีซึ่งไม่ได้ตระหนักถึงผลของการกระทำของพวกเขา และเนื่องจากมีจำนวนมากดังนั้นภัยคุกคามที่พวกเขาก่อขึ้นจึงควรถูกดำเนินการอย่างจริงจังเหมือนกับสายลับที่อันตรายกว่า แต่มีสายลับที่หายากกว่ามาก

[**] ฉันรู้ว่าหากหัวหน้าของคุณได้ทำตามคำสั่งนั้นแล้วโอกาสก็คือพวกเขาไม่ใช่คนที่เหมาะสม หากพวกเขามีเหตุผล แต่เพียงเข้าใจผิดนั่นก็ยอดเยี่ยม หากพวกเขาไม่มีเหตุผลและดื้อรั้นนี่เป็นโชคร้าย แต่คุณต้องหาวิธีที่จะเจรจากับพวกเขา การเสนอวิธีแก้ปัญหาบางอย่างแม้ว่าคุณจะไม่สามารถยอมรับให้พวกเขาสามารถเป็นกลยุทธ์ที่ดี - นำเสนออย่างถูกต้องมันแสดงให้พวกเขาเห็นว่าคุณ "อยู่ข้างพวกเขา" ใช้ความกังวลอย่างจริงจังและพร้อมที่จะค้นหา สำหรับทางเลือกตามข้อกำหนดที่เป็นไปไม่ได้ทางเทคนิค


4

ฝ่ายบริหารของคุณกำลังขอให้คุณปิดกล่องแพนดอร่า

แม้ว่าโดยทั่วไปแล้วคุณจะสามารถป้องกันการอัปโหลดเอกสารใด ๆ สำหรับกลไกที่เป็นไปได้ทั้งหมดที่ทราบแล้ว แต่คุณจะไม่สามารถป้องกันการใช้ประโยชน์ในรูปแบบ zero-day (หรือเทียบเท่ากับคุณ) ได้

ดังกล่าวกล่าวว่าไฟร์วอลล์การตรวจสอบสิทธิ์เพื่อระบุทั้งผู้ใช้และเวิร์กสเตชันสามารถนำมาใช้เพื่อ จำกัด การเข้าถึงด้วย ACL ที่คุณต้องการ คุณสามารถรวมบริการชื่อเสียงตามที่อธิบายไว้ในคำตอบอื่น ๆ เพื่อช่วยในการจัดการกระบวนการ

คำถามจริงคือถามว่าเรื่องนี้เกี่ยวกับความปลอดภัยหรือเป็นเรื่องเกี่ยวกับการควบคุม ? หากเป็นครั้งแรกคุณต้องเข้าใจเกณฑ์ต้นทุนที่ผู้จัดการของคุณพร้อมที่จะจ่าย หากเป็นครั้งที่สองอาจเป็นโรงภาพยนตร์ขนาดใหญ่ที่มองเห็นได้พอที่จะโน้มน้าวใจพวกเขาว่าคุณได้ส่งมอบโดยมีข้อยกเว้นเล็กน้อย


3

คุณต้องมีอุปกรณ์หรือบริการการกรองเนื้อหาเช่น BlueCoat Secure Web Gateway หรือไฟร์วอลล์ที่มีการกรองเนื้อหาเช่นไฟร์วอลล์ Palo Alto ผลิตภัณฑ์เช่นนี้มีตัวกรองหมวดหมู่กว้างที่มีที่เก็บข้อมูลออนไลน์

BlueCoat ยังเสนอบริการบนคลาวด์ซึ่งคุณสามารถบังคับให้ผู้ใช้แล็ปท็อปของคุณเชื่อมต่อผ่านบริการพร็อกซีที่ทำงานแบบโลคัลบนคอมพิวเตอร์ของพวกเขา แต่ใช้กฎการกรองเนื้อหาจากแหล่งกลาง


2
  • บัญชีดำ

สร้างรายการไซต์ที่ผู้ใช้ไม่สามารถเข้าถึงได้

Pro: บล็อกบริการเฉพาะ

ข้อด้อย: รายการใหญ่บางครั้งก็อาจส่งผลเสียต่อประสิทธิภาพการทำงานของไฟร์วอลล์ของระบบ บางครั้งก็สามารถข้ามได้

  • WhiteList

แทนที่จะอาศัยรายการใหญ่ของเว็บไซต์ที่ถูกขึ้นบัญชีดำบาง บริษัท ใช้บัญชีขาวที่ผู้ใช้สามารถเข้าถึงได้เฉพาะเว็บไซต์ที่ปลอดภัย

Pro: ง่ายต่อการจัดการ

จุดด้อย: มันเจ็บผลผลิต

  • บล็อกขนาดของการส่งข้อมูล (POST / GET)

ไฟร์วอลล์บางตัวอนุญาตบล็อกขนาดการส่งข้อมูลทำให้ไม่สามารถส่งไฟล์บางไฟล์

Pro: ง่ายต่อการจัดการ

ข้อด้อย: ผู้ใช้บางคนสามารถข้ามได้โดยส่งไฟล์เป็นไฟล์ย่อย มันอาจทำให้บางเว็บไซต์แตกตัวอย่างเช่นบางเว็บไซต์ winforms ของ Java และ Visual Studio ส่งข้อมูลจำนวนมากเป็นประจำ

  • บล็อกการเชื่อมต่อที่ไม่ใช่ HTTP

Pro: ง่ายต่อการกำหนดค่า

จุดด้อย: มันอาจทำลายระบบปัจจุบัน

จากประสบการณ์ของฉันฉันทำงานให้กับธนาคาร ผู้ดูแลระบบบล็อกการเข้าถึงไดรเวอร์ usb และเข้าถึงบางไซต์ที่ถูก จำกัด (บัญชีดำ) อย่างไรก็ตามฉันสร้างไฟล์ php ในเว็บโฮสติ้งฟรีและฉันสามารถอัปโหลดไฟล์ของฉันได้โดยไม่มีปัญหา (ใช้เว็บไซต์ปกติ) ฉันใช้เวลา 5 นาทีในการทำเช่นนั้น

ฉันเห็นด้วยกับความคิดเห็นบางอย่างง่ายและมีประสิทธิภาพมากขึ้นในการใช้กฎทรัพยากรมนุษย์


แนวคิดล่าสุดคือวิธีการรวม: บัญชีดำสำหรับ HTTP รายการที่อนุญาตสำหรับ HTTPS สำหรับโซลูชันอื่น ๆ : มันจำเป็นเสมอที่จะทดสอบสิ่งที่สามารถนำไปใช้ได้โดยไม่ทำลายระบบที่มีอยู่เพราะสิ่งนี้แตกต่างกันไปในแต่ละกรณี
marsze
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.