Bloquee el acceso de los empleados a la nube pública

29

Antes que nada, permítanme decir que esta no es mi idea y no quiero discutir si tal acción es razonable.

Sin embargo, para una empresa, ¿hay alguna manera de evitar que los empleados accedan a los servicios de nube pública? En particular, no deberían poder subir archivos a ningún lugar de la web.

Bloquear HTTPS podría ser una primera solución simple pero muy radical. Usar una lista negra de direcciones IP tampoco sería suficiente. Probablemente, se necesita algún tipo de software para filtrar el tráfico en un nivel de contenido. Un proxy puede ser útil para poder filtrar el tráfico HTTPS.

Las tesis son mis pensamientos hasta ahora. ¿Qué piensas? ¿Algunas ideas?

marsze
fuente
2
Uno de nuestros clientes (hacemos otras cosas por ellos) canaliza todo el tráfico a través de un proxy que es observado por bluecoat.com. Muchos sitios (almacenamiento de archivos, juegos, piratería, medios ...) están bloqueados. Realmente lo odio ...
Reeno
45
Entiendo por qué dices que no quieres hablar de esto, pero eso patina sobre una de las partes más importantes de la descripción del trabajo de un buen administrador de sistemas: decir la verdad al poder. A veces, una idea es prima facie estúpida; otras veces, no es una mala idea, pero es una idea social / comercial, y no es la más adecuada para una solución técnica. En ambos casos, lo único correcto para un administrador de sistemas es darse la vuelta y decir " no ".
MadHatter apoya a Monica
44
@MadHatter Aún así, aparte de esta intuición inicial que compartimos, intento al menos presentar lo que sería técnicamente posible. Aparte de eso, estoy de acuerdo.
marsze
8
¿No es esto para lo que son las políticas de administración y uso aceptable?
user9517 es compatible con GoFundMonica
66
posible: sus computadoras nunca están conectadas a Internet, no se les permite ninguna cámara (teléfono celular incluido, obviamente) o dispositivo de grabación (como un bolígrafo) en la oficina, oficina que no tiene una ventana que pueda abrir o ver. Además, cada vez que salgan de la oficina, sus usuarios deben realizar una búsqueda completa en el cuerpo y borrar la memoria, de lo contrario, pueden memorizar algo y ponerlo en Internet más tarde.
njzk2

Respuestas:

71

Básicamente tienes tres opciones aquí.

1. Desconecte su oficina / usuarios de internet

  • Si no pueden llegar a "la nube pública", no pueden cargar nada en ella.

2. Compile una lista negra de servicios específicos a los que le preocupa que los usuarios accedan.

  • Esto será absolutamente masivo si pretende ser incluso remotamente efectivo.
    • Los usuarios expertos en tecnología siempre podrán encontrar una forma de evitarlo: puedo conectarme a mi computadora desde cualquier parte del mundo con una conexión a Internet, así que ... buena suerte bloqueándome, por ejemplo.

3. Hacer algo más razonable / reconocer los límites de la tecnología.

  • Esta no es su idea, pero, en general, si proporciona a la administración las dificultades y los gastos de implementar una solución como esta, estarán más abiertos a mejores enfoques.

    • A veces esto es una cuestión de cumplimiento, o "solo por apariencias", y están contentos con solo bloquear los servicios más populares
    • A veces, realmente no entienden cuán loca es su solicitud, y necesitan que les diga en términos que puedan entender.
      • Tuve un cliente una vez, cuando trabajaba para un proveedor de seguridad informática, que quería que proporcionáramos una forma de evitar que los empleados filtren información confidencial con nuestro agente AV. Saqué mi teléfono inteligente, tomé una foto de mi pantalla y le pregunté cómo podría evitar eso, o incluso escribir la información en una hoja de papel.
      • Use las noticias y los eventos recientes en su explicación: si el Ejército no pudo detener a Manning y la NSA no pudo detener a Snowden, ¿qué le hace pensar que podemos hacerlo y cuánto dinero cree que incluso intentarlo costará?
HopelessN00b
fuente
11
Buena respuesta. La solicitud realmente no puede ser tratada fuera del actualyl de 2.a - usando una WHITELIST. Y luego contratar personas para administrarlo;) Porque hombre, será mucho trabajo. Posiblemente menos que una lista negra. Y todavía no lograr nada (buena idea con el teléfono inteligente). Petición surrealista.
TomTom
1
@TomTom Sí, pensé en la lista blanca, pero en todas partes que he visto, la lista blanca de las partes de Internet a las que quieren acceder es mucho más grande que la lista negra de los servicios a los que temen irracionalmente / no quieren empleados accediendo
HopelessN00b
1
Creo que depende Por ejemplo, en mi empresa, la lista blanca sería de unos 300 elementos. Requerido para los negocios. Una lista negra comenzará a manejar todo. Además, la lista blanca que ganas (siempre válida, comienza con 0 entradas), la lista negra que ni siquiera sabes por dónde empezar. Pero en general, esos son intentos inútiles.
TomTom
3
En mi humilde opinión, el bloqueo de los 10 sitios más evidentes probablemente alcanzaría el 95% de lo que busca la administración. A nadie le importan los pocos nerds que harán un túnel alrededor del bloque.
Steve Bennett
3
@SteveBennett Si bien esto probablemente sea cierto, no es seguro asumir que a la administración no le importa el 5% y / o las personas que pueden y eludirán el sistema. Si los recursos técnicos no le permiten a la administración conocer las limitaciones del sistema, serán los recursos técnicos los que se pondrán de cabeza cuando alguien cargue toda la IP de la compañía en BitTorrent (o cualquier incidente que vuelva a llamar la atención de la administración).
HopelessN00b
30

No hay forma de bloquearlo por completo, por supuesto, a menos que la red corporativa se desconecte de Internet.

Si realmente desea algo que debería funcionar la mayor parte del tiempo y ser en su mayoría transparente, necesitará olfatear los paquetes . Configure un proxy SSL / TLS man-in-the-middle, así como uno para la comunicación sin cifrar, y bloquee todo el tráfico que no pase por uno de estos.

  • Bloquear solicitudes HTTP PUT
  • Bloquee todas las solicitudes HTTP POST donde el tipo de contenido no sea application / x-www-form-urlencoded o multipart / form-data
  • Para solicitudes HTTP POST de tipo multipart / form-data, elimine los campos con una disposición de contenido de "archivo" (pero deje pasar otros campos).
  • Bloquear tráfico FTP, BitTorrent y SMTP
  • Bloquee todo el tráfico a los principales servicios de correo web y a los principales sitios públicos de almacenamiento de archivos.

Como puede ver, esta es una empresa masiva y dolorosa. También está lejos de ser invulnerable : estoy pensando en varias soluciones, incluso mientras escribo esto, algunas de las cuales no se pueden manejar sin romper fundamentalmente las conexiones web de sus usuarios, y probablemente habrá comentarios que muestren muchas más que no hice. pensar en. Pero debería dejar pasar la mayor parte del tráfico, mientras filtra las formas más fáciles de eliminar la carga de archivos.

La conclusión es que esto es más problema de lo que vale.

La mejor respuesta sería entablar una especie de negociación con sus jefes: averiguar lo que realmente quieren (probablemente protección de secretos comerciales o prevención de responsabilidad), y señalar por qué estas medidas tecnológicas inviables no les darán lo que quieren. Luego, puede encontrar soluciones a sus problemas que no impliquen medidas tecnológicas inviables.

No se preocupe por la ideología en estas discusiones: todo lo que tiene que hacer es centrarse en lo que funcionará y lo que no . Encontrará todos los argumentos que necesita allí, y si bien esto sin duda los frustrará a usted y a sus jefes, evita emitir juicios de valor en contra de ellos (lo cual podría ser merecido, pero solo provocará que las conversaciones se rompan, y eso es malo )

El más cuchara
fuente
44
¡+1 por dar algunas sugerencias útiles de implementación y también por presentar una visión sobre este tema desde una perspectiva más amplia!
marsze
26

Lo que dijo HopelessN00b. Solo quería agregar eso:

Tengo una amiga con un trabajo en una agencia gubernamental donde no se le permite traer un teléfono celular con una cámara a la oficina. Suele decir que "no se me permite tener un teléfono celular con cámara" porque, bueno. Si no puede llevarse su celular con ella, ¿por qué tener uno? Tiene problemas para encontrar teléfonos celulares que no tengan cámaras.

He trabajado para otros lugares de alta seguridad que "resolverían" este problema a través del fascismo administrativo :

  • Una política oficial de que acceder a su correo electrónico personal desde su estación de trabajo es un delito de despido.
  • Una política oficial de que acceder a un servicio en la nube desde su estación de trabajo es un delito de despido.
  • Una política oficial de que enchufar una memoria USB, un iPod o un teléfono celular en una estación de trabajo es un delito.
  • Una política oficial de que acceder a las redes sociales desde su estación de trabajo es un delito de despido.
  • Una política oficial de que la instalación de software no autorizado en su estación de trabajo es un delito de despido.
  • Una política oficial de que acceder a su banca personal en línea desde su estación de trabajo es un delito de despido.
  • Un firewall / proxy corporativo épico que tiene muchos / la mayoría de esos sitios bloqueados. Cualquier intento de acceder a facebook.com, por ejemplo, genera una pantalla de "Este sitio bloqueado por ETRM". Ocasionalmente bloquearon cosas como Stack Overflow como "pirateo" también.
  • Algunas "ofensas" merecen un correo electrónico enviado a todo su equipo indicando que accedió a un sitio no autorizado (en lugar de disparar ... esta vez). ("¡Katherine Villyard accedió a http://icanhas.cheezburger.com/ a las 3:21 pm!")
  • Obligar a todos los nuevos empleados a tomar una clase de "política de seguridad" que explique estas reglas, y obligar a las personas a tomar cursos de actualización regulares sobre estas reglas. Y luego tomar y pasar un cuestionario sobre ellos.

Los lugares que dependen del fascismo administrativo generalmente solo hacen intentos superficiales de respaldar estas reglas a través de medios técnicos, en mi experiencia. Por ejemplo, dicen que te despedirán si conectas una memoria USB, pero no desactivan el USB. Bloquean Facebook a través de http pero no a través de https. Y, como señaló HopelessN00b, los usuarios inteligentes lo saben y se burlan de esto.

Katherine Villyard
fuente
2
En realidad, existen soluciones técnicas en las que puede confiar para deshabilitar los dispositivos USB (todos los agentes AV que he visto en años pueden hacer esto de manera bastante efectiva) o bloquear el acceso a [algunas] categorías bien definidas de sitios web. El problema para el OP es que "nube pública" / "lugares donde los usuarios pueden cargar datos" no es una categoría bien definida (y no lo será en el corto plazo), por lo que ni siquiera puede sugerir un filtro web como solución para el problema ... tendrá que hacer una lista negra personalizada o gestión de servicios para ver la razón.
HopelessN00b
Lo sé y estoy de acuerdo. Ciertamente no presenté esa lista para respaldarla como un curso de acción. :)
Katherine Villyard
9
Técnicamente, las nubes públicas incluyen a todos los proveedores de alojamiento, ya que es trivial alquilar un sitio web y colocar un archivo allí. Ay. Problema no solucionable.
TomTom
Durante muchos años, a los empleados en el lugar de trabajo de mi padre no se les permitía llevar teléfonos con una cámara en la oficina. Eventualmente, la compañía hizo la transición a una política de permitir teléfonos de la compañía (moras en el momento, iphones ahora), pero no teléfonos personales.
Brian S
Muchos teléfonos inteligentes utilizan una cámara modular que se puede quitar con un poco de esfuerzo. No es algo que le gustaría hacer repetidamente, ya que puede requerir herramientas extrañas para estar seguro, pero permitiría el uso de un teléfono contemporáneo y útil en un área restringida.
Pekka
19

En realidad, existe una solución simple siempre que no espere que su red interna esté expuesta a Internet al mismo tiempo.

Sus PC simplemente necesitan estar completamente bloqueadas para acceder a Internet. Todos los puertos USB bloqueados, etc.

Para conectarse a Internet, las personas deben usar una computadora diferente, conectada a una red diferente, o conectarse a través de RDP a un Terminal Server que tenga acceso a Internet. Deshabilita el portapapeles sobre RDP y no comparte Windows. De esa manera, los usuarios no pueden copiar archivos en los servidores de terminales de Internet y, por lo tanto, no pueden enviar archivos.

Eso deja el correo electrónico ... esa es su mayor laguna en esto si permite el correo electrónico en las PC internas.

ETL
fuente
3
Suena snippy, pero lamentablemente esa es la verdad. Prácticamente la única forma de resolver esto.
TomTom
2
Tenemos esta solución (Internet y correo electrónico solo a través del servidor de terminal) ya implementada para partes de nuestra empresa. Sin embargo, para los desarrolladores de software, que no tienen acceso a Internet en todo, obviamente, sería muy problemático ...
marsze
@marsze: lo he visto resuelto con un proxy de lista blanca donde las pocas cosas que los programadores necesitan directamente en su caja (como el repositorio de Maven) se permiten a través del proxy.
ETL
1
Eso deja un bolígrafo y un papel, o simplemente memoria.
njzk2
1
@marsze Trabajé en una empresa con redes separadas que hizo esto al dar a los desarrolladores dos máquinas. Uno robusto para realizar trabajos de desarrollo, conectado a la red de acceso interno solamente, y otro (cliente ligero, o clunker antiguo) que estaba conectado a una red que tenía acceso a Internet. Una solución efectiva, aunque simplista y más cara.
HopelessN00b
5

¿Sabes ese viejo chiste de que, si tú y un halfling son perseguidos por un dragón enojado, no tienes que correr más rápido que el dragón, solo tienes que ser más rápido que el halfling? Suponiendo que los usuarios no maliciosos *, no tiene que restringir su acceso a la nube pública, es suficiente para que la usabilidad de la nube pública sea menor que la usabilidad de cualquier solución empresarial que tenga para el acceso a datos sin escritorio . Implementado adecuadamente, esto reducirá el riesgo de fugas no maliciosas y se puede hacer con una fracción del costo.

En la mayoría de los casos, una simple lista negra debería ser suficiente. Ponga Google Drive, Dropbox y la nube de Apple en él. También bloquee el tráfico a Amazon AWS: la mayoría de estas startups calientes que crean otro servicio en la nube no construyen su propio centro de datos. Acaba de reducir el número de empleados que saben cómo ingresar a la nube pública del 90% al 15% (los números muy aproximados variarán según la industria). Utilice un mensaje de error adecuado para explicar por qué las nubes públicas están prohibidas, lo que reducirá su impresión de censura sin sentido (lamentablemente, siempre habrá usuarios que no estén dispuestos a entender).

El 15% restante aún puede llegar a proveedores que no están en la lista negra, pero probablemente no se molestarán en hacerlo. Google Drive y compañía están sujetos a fuertes efectos de red positivos (del tipo económico, no del tipo técnico) Todos usan los mismos servicios 2-3, por lo que están integrados en todas partes. Los usuarios crean flujos de trabajo convenientes y optimizados que incluyen estos servicios. Si el proveedor alternativo de la nube no puede integrarse en dicho flujo de trabajo, los usuarios no tienen ningún incentivo para usarlo. Y espero que tenga una solución corporativa para el uso más básico de una nube, como el almacenamiento de archivos en un lugar central, accesible desde una ubicación física fuera del campus (con VPN si se necesita seguridad).

Agregue a esta solución una buena cantidad de mediciones y análisis. (Esto siempre es necesario cuando se trata de usuarios). Tome muestras de tráfico, especialmente si exhibe patrones sospechosos (tráfico ascendente en ráfagas lo suficientemente grandes como para cargar documentos, dirigido al mismo dominio). Eche un vistazo humano a los dominios sospechosos identificados, y si descubre que es un proveedor de la nube, descubra por quélos usuarios lo usan, hablan con la gerencia sobre proporcionar una alternativa con igual usabilidad, educan al usuario infractor sobre la alternativa. Sería genial si su cultura corporativa le permite reeducar suavemente a los usuarios capturados sin implementar medidas disciplinarias las primeras veces, entonces no tratarán de esconderse de usted especialmente, y podrá detectar fácilmente las desviaciones y lidiar con la situación de una manera que reduce el riesgo de seguridad pero aún permite al usuario hacer su trabajo de manera eficiente.

Un gerente razonable ** comprenderá que esta lista negra conducirá a pérdidas de productividad. Los usuarios tenían una razón para usar la nube pública: se les incentivaba a ser productivos y el flujo de trabajo conveniente aumentaba su productividad (incluida la cantidad de horas extra no pagadas que estaban dispuestos a hacer). Es el trabajo de un gerente evaluar la compensación entre la pérdida de productividad y los riesgos de seguridad y decirle si están dispuestos a dejar la situación tal como está, implementar la lista negra o tomar medidas dignas de servicio secreto (que son gravemente inconveniente y aún no proporcionan el 100% de seguridad).


[*] Sé que las personas cuyo trabajo es la seguridad piensan primero en la intención criminal. Y, de hecho, un criminal determinado es mucho más difícil de detener y puede infligir daños mucho peores que un usuario no malicioso. Pero en realidad, hay pocas organizaciones que se infiltran. La mayoría de los problemas de seguridad están relacionados con la tontería de los usuarios bien intencionados que no se dan cuenta de las consecuencias de sus acciones. Y debido a que hay tantos de ellos, la amenaza que representan debe tomarse tan en serio como el espía más peligroso, pero mucho más raro.

[**] Soy consciente de que, si sus jefes ya hicieron esa demanda, es probable que no sean del tipo razonable. Si son razonables pero están equivocados, es genial. Si no son razonables y tercos, esto es lamentable, pero debe encontrar una manera de negociar con ellos. Ofrecer una solución tan parcial, incluso si no puede lograr que lo acepten, puede ser un buen movimiento estratégico: presentado correctamente, les muestra que está "de su lado", toma sus preocupaciones en serio y está preparado para buscar para alternativas a requisitos técnicamente inviables.

rumtscho
fuente
4

Su gerencia le está pidiendo que cierre la caja de Pandora.

Si bien, en principio, puede evitar la carga de cualquier documentación para todos los mecanismos posibles conocidos, no podrá evitar que se utilicen exploits de día cero (o el equivalente para usted).

Dicho esto, se puede implementar un firewall de autenticación para identificar tanto al usuario como a la estación de trabajo, para restringir el acceso con ACL que desee. Puede incorporar un servicio de reputación como se describe en algunas de las otras respuestas para ayudarlo a administrar el proceso.

La verdadera pregunta es preguntar si se trata de seguridad o de control . Si es el primero, debe comprender el umbral de costo que sus gerentes están dispuestos a pagar. Si es el segundo, entonces probablemente un gran teatro visible será suficiente para convencerlos de que ha entregado, con pequeñas excepciones.

Pekka
fuente
3

Necesita un dispositivo o servicio de filtrado de contenido, como BlueCoat Secure Web Gateway, o un firewall con filtrado de contenido, como un firewall de Palo Alto. Productos como este tienen filtros de categoría amplia que incluyen almacenamiento en línea.

BlueCoat incluso ofrece un servicio basado en la nube donde puede obligar a los usuarios de su computadora portátil a conectarse a través de un servicio proxy que se ejecuta localmente en su computadora, pero toma las reglas de filtrado de contenido de una fuente central.

cuello largo
fuente
2
  • Lista negra

Cree una lista de sitios a los que los usuarios no puedan acceder.

Pro: servicio específico de bloque.

Contras: una gran lista, a veces podría dañar el rendimiento del firewall del sistema (¡generalmente lo hace!). A veces puede pasarse por alto.

  • WhiteList

En lugar de depender de una gran lista de sitios en la lista negra, algunas compañías usan una lista blanca donde los usuarios solo pueden acceder a los sitios incluidos en la lista blanca.

Pro: fácil de administrar.

Contras: perjudica la productividad.

  • Bloquee el tamaño del envío de información (POST / GET).

Algunos cortafuegos permiten bloquear el tamaño del envío de información, lo que hace imposible enviar algunos archivos.

Pro: fácil de administrar.

Contras: algunos usuarios pueden evitarlo enviando archivos en pequeños fragmentos. Podría romper algunos sitios web, por ejemplo, algunos sitios winforms de Java y Visual Studio envían mucha información regularmente.

  • Bloquear conexiones no HTTP.

Pro: fácil de configurar.

Contras: podría romper los sistemas actuales.

En mi experiencia, trabajé para un banco. Los administradores bloquearon el acceso a la unidad usb y a algunos sitios restringidos (lista negra). Sin embargo, creé un archivo php en un alojamiento web gratuito y puedo cargar mis archivos sin ningún problema (usando un sitio web normal). Me tomó 5 minutos hacer eso.

Estoy de acuerdo con algunos comentarios, es fácil y más efectivo usar reglas de recursos humanos.

magallanes
fuente
Una idea reciente fue un enfoque combinado: una lista negra para HTTP, una lista blanca para HTTPS. En cuanto a las otras soluciones: siempre será necesario probar lo que se puede implementar sin romper los sistemas existentes, porque esto difiere de un caso a otro.
marsze