パブリッククラウドへの従業員のアクセスをブロックする

まず第一に、これは私の考えではなく、そのような行動が合理的かどうかについて議論したくないと述べさせてください。

しかし、企業にとって、従業員がパブリッククラウドサービスにアクセスできないようにする方法はありますか？特に、ウェブ上のどの場所にもファイルをアップロードできないようにする必要があります。

HTTPSのブロックは、最初の単純な、しかし非常に急進的なソリューションかもしれません。IPアドレスのブラックリストを使用しても十分ではありません。コンテンツレベルでトラフィックをフィルタリングするには、おそらく何らかのソフトウェアが必要です。HTTPSトラフィックをフィルタリングできるようにするには、プロキシが役立つ場合があります。

これらはこれまでの私の考えです。どう思いますか？何か案は？

ここには基本的に3つのオプションがあります。

1.インターネットからオフィス/ユーザーを切断します

• 「パブリッククラウド」にアクセスできない場合、何もアップロードできません。
  
  

2.ユーザーがアクセスすることを心配している特定のサービスのブラックリストを作成します。

• これは、リモートで効果的であることを意図している場合、絶対に大規模になります。
  • ハイテクに精通したユーザーはいつでもその方法を見つけることができます。インターネット接続を使用して世界中のどこからでもコンピューターに接続できるので、幸運にも私をブロックします。
    
    

3.より合理的なことをする/技術の限界を認識する。

• これはあなたの考えではありませんが、一般的に、このようなソリューションを実装するための落とし穴と費用を管理者に提供する場合、より良いアプローチに対してよりオープンになります。

  • 時にはこれはコンプライアンスの問題、または「見た目だけのため」であり、最も人気のあるサービスをブロックするだけで満足しています
  • 時々、彼らは彼らの要求がどれほど狂っているかを本当に理解していないので、彼らが理解できる用語であなたに彼らに伝える必要があります。
    • コンピューターセキュリティベンダーで働いていたときにクライアントが1人いましたが、AVエージェントを使用して従業員が機密情報を漏らさないようにする方法を提供したいと考えていました。私はスマートフォンをホイップし、スクリーンの写真を撮り、どうすればそれを防ぐことができるか、あるいは紙に情報を書き留める方法を尋ねました。
    • ニュースと最近の出来事を説明に使用してください。軍隊がマニングを止めることができず、NSAがスノーデンを止めることができなかった場合、どうしてそれができると思いますか。

もちろん、企業ネットワークをインターネットから切断しない限り、完全にブロックする方法はありません。

ほとんど透明でありながらほとんどの場合に機能するものが本当に必要な場合は、パケットを詳細に調べる必要があります。中間者SSL / TLSプロキシと暗号化されていない通信用のプロキシを設定し、これらのいずれかを通過しないすべてのトラフィックをブロックします。

• HTTP PUTリクエストをブロックする
• content-typeがapplication / x-www-form-urlencodedまたはmultipart / form-dataでないすべてのHTTP POST要求をブロックします
• タイプmultipart / form-dataのHTTP POST要求の場合、content-dispositionが「file」のフィールドを取り除きます（ただし、他のフィールドは通過させます）。
• FTP、BitTorrent、SMTPトラフィックをブロックする
• 主要なWebメールサービスおよび主要なパブリックファイルストレージサイトへのすべてのトラフィックをブロックします。

ご覧のとおり、これは大規模で苦痛を伴う作業です。また、無敵というわけではありません。これを書いているときでも、いくつかの回避策を考えています。それらのいくつかは、ユーザーのWeb接続を根本的に中断せずには処理できません。のことを考える。ただし、ほとんどのトラフィックは通過させ、ファイルのアップロードを排除する最も簡単な方法を除外する必要があります。

一番下の行は、これが価値があるよりも多くのトラブルであるということです。

最良の答えは、上司との一種の交渉に入ることです：彼らが本当に欲しいものを見つけて（おそらく企業秘密の保護または賠償責任の防止のいずれか）、そしてこれらの実行不可能な技術的手段が彼らが望むものを得ることができない理由を指摘してください。次に、実行不可能な技術的手段を含まない問題の解決策を考え出すことができます。

これらの議論でイデオロギーを心配しないでください。あなたがしなければならないのは、何がうまくいくか、何がうまくいかないかに焦点を合わせるだけです。そこに必要なすべての議論があり、これは間違いなくあなたとあなたの上司の両方を苛立たせますが、彼らに対して価値判断を渡すことは避けられます（当然のことですが、交渉が崩壊するだけで、それは悪いことです） ）。

HopelessN00bが言ったこと。私はそれを追加したかっただけです：

政府機関で仕事をしている友人がいて、カメラ付き携帯電話をオフィスに持ち込むことは許可されていません。彼女は通常、「カメラ付きの携帯電話を所有することは許可されていません」と言います。彼女が彼女の細胞を彼女と一緒に連れて行けないなら、なぜそれを所有するのですか？彼女はカメラのない携帯電話を見つけるのに苦労しています。

私は、管理ファシズムを介してこの問題を「解決」する他の高セキュリティタイプの場所で働いてきました。

• ワークステーションから個人の電子メールにアクセスするという公式ポリシーは、発砲罪です。
• ワークステーションからクラウドサービスにアクセスすることは公式のポリシーです。
• サムドライブ、iPod、または携帯電話をワークステーションに接続するという公式ポリシーは、発砲罪です。
• ワークステーションからソーシャルメディアにアクセスするという公式ポリシーは、発砲罪です。
• 許可されていないソフトウェアをワークステーションにインストールすることは発砲行為であるという公式ポリシーです。
• ワークステーションから個人のオンラインバンキングにアクセスすることは、発砲罪であるという公式ポリシーです。
• それらのサイトの多く/ほとんどがブロックされている壮大な企業ファイアウォール/プロキシ。たとえば、facebook.comにアクセスしようとすると、「このサイトはETRMによってブロックされました」という画面が表示されます。Stack Overflowなどを「ハッキング」としてブロックすることもありました。
• 一部の「オフェンス」は、チーム全体に送信されたメールで、許可されていないサイトにアクセスしたことを示すものです（今回は解雇ではなく）。（「キャサリンビリヤードはhttp://icanhas.cheezburger.com/に午後3時21分にアクセスしました！」）
• すべての新規採用者にこれらのルールを説明する「セキュリティポリシー」クラスを強制し、これらのルールについて定期的に復習コースを受講させる。そして、それらにクイズを取り、合格します。

私の経験では、管理ファシズムに依存する場所は一般に、技術的な手段を介してこれらのルールをバックアップするための大まかな試みのみを行います。例えば、彼らはあなたがサムドライブを差し込むと彼らがあなたを解雇すると言いますが、USBを無効にしません。彼らはhttp経由ではなくhttp経由でFacebookをブロックします。そして、HopelessN00bが指摘したように、経験豊富なユーザーはこれを知っており、これをock笑します。

実際には、内部ネットワークが同時にインターネットに公開されることを期待しない限り、簡単なソリューションがあります。

お使いのPCは、インターネットへのアクセスを完全にブロックする必要があります。すべてのUSBポートがブロックされているなど。

インターネットに接続するには、別のネットワークに接続されている別のコンピューターを使用するか、インターネットにアクセスできるターミナルサーバーにRDP経由で接続する必要があります。RDP上のクリップボードを無効にし、ウィンドウを共有しません。この方法では、ユーザーはファイルをインターネットターミナルサーバーにコピーできないため、ファイルを送信できません。

内部のPCで電子メールを許可すると、電子メールが残ります。

あなたは、あなたとハーフリングが怒っているドラゴンに追われている場合、ドラゴンより速く走る必要はなく、ハーフリングより速くなければならないという古いジョークを知っていますか？悪意のないユーザー*を想定すると、パブリッククラウドへのアクセスを制限する必要はありません。パブリッククラウドの使いやすさを、非デスクトップ向けのデータアクセス用のエンタープライズソリューションの使いやすさよりも低くするだけで十分です。 。適切に実装すれば、悪意のないリークのリスクが大幅に軽減され、わずかなコストで実行できます。

ほとんどの場合、単純なブラックリストで十分です。Googleドライブ、Dropbox、Appleクラウドを配置します。また、Amazon AWSへのトラフィックをブロックします-さらに別のクラウドサービスを構築するこれらのホットスタートアップのほとんどは、独自のデータセンターを構築しません。パブリッククラウドへのアクセス方法を知っている従業員の数を90％から15％に減らしました（非常に大まかな数は業界によって異なります）。適切なエラーメッセージを使用して、パブリッククラウドが禁止されている理由を説明します。これにより、不当な検閲の印象が減ります（悲しいことに、ユーザーは常に理解したがらないでしょう）。

残りの15％は、ブラックリストに載っていないプロバイダーに到達できますが、おそらく気にすることはありません。Googleのドライブとcoは、強い肯定的なネットワーク効果の影響を受けます（技術的な種類ではなく経済的な種類）。誰もが同じ2-3サービスを使用するため、どこにでも組み込まれます。ユーザーは、これらのサービスを含む便利で効率的なワークフローを構築します。代替クラウドプロバイダーをこのようなワークフローに統合できない場合、ユーザーはそれを使用するインセンティブがありません。そして、キャンパス外の物理的な場所からアクセスできる（セキュリティが必要な場合はVPNを使用して）中央にファイルを保存するなど、クラウドの最も基本的な使用のための企業ソリューションがあることを願っています。

このソリューションに、大量の測定と分析を追加します。（これは、ユーザーが懸念する場合は常に必要です）。特に不審なパターン（同じドメインに向けられたドキュメントのアップロードに十分な大きさのアップストリームトラフィック）を示している場合は、トラフィックのサンプルを取得します。特定された疑わしいドメインを人間に見てもらい、クラウドプロバイダーであることがわかった場合は、その理由を調べますユーザーはそれを使用し、同等のユーザビリティを備えた代替案を提供することについて経営陣と話し、問題のあるユーザーに代替案を教育します。あなたの企業文化が、懲戒処分を最初に実施することなく、キャッチされたユーザーを優しく再教育することを可能にすると素晴らしいでしょう-そして、彼らはあなたから特に一生懸命に隠れようとせず、あなたは簡単に逸脱をキャッチし、状況に対処することができますセキュリティリスクは軽減しますが、ユーザーは自分の仕事を効率的に行うことができます。

合理的なマネージャー**は、このブラックリストが生産性の損失につながることを理解します。ユーザーはパブリッククラウドを使用する理由がありました-生産性を高めるインセンティブがあり、便利なワークフローにより生産性が向上しました（未払いの残業時間を含む）。生産性の損失とセキュリティリスクのトレードオフを評価し、状況をそのままにするか、ブラックリストを実装するか、またはシークレットサービスに値する手段（これらは非常に不便であり、まだ100％のセキュリティを提供していません。

[*]セキュリティを仕事とする人々は、まず犯罪目的を考えることを知っています。そして確かに、断固とした犯罪者は、悪意のないユーザーよりも停止するのがはるかに難しく、より悪い損害を与える可能性があります。しかし、実際には、侵入する組織はほとんどありません。ほとんどのセキュリティ問題は、行動の結果を理解していない善意のユーザーの愚かさに関連しています。そして、それらの非常に多くがあるので、彼らがもたらす脅威は、より危険ですが、はるかにまれな、スパイと同じくらい真剣にとられるべきです。

[**]上司がすでにそのような要求を行っていた場合、彼らは合理的なタイプではない可能性があることを認識しています。それらが合理的であるが、見当違いの場合、それは素晴らしいことです。彼らが不合理で頑固な場合、これは残念ですが、あなたは彼らと交渉する方法を見つけなければなりません。そのような部分的な解決策を提供することは、たとえそれを受け入れさせられなくても、良い戦略的な動きになる可能性があります。技術的に実行不可能な要件に代わるもの。

あなたの管理者は、Pandoraのボックスを閉じるように求めています。

原則として、考えられるすべての既知のメカニズムのドキュメントのアップロードを防ぐことはできますが、ゼロデイ攻撃（またはそれに相当するもの）の使用を防ぐことはできません。

ただし、ユーザーとワークステーションの両方を識別する認証ファイアウォールを実装して、希望するACLでアクセスを制限できます。プロセスの管理に役立つ他の回答のいくつかで説明されているように、評価サービスを組み込むことができます。

本当の質問は、これがセキュリティに関するものなのか、それとも制御に関するものなのかを尋ねることです。最初の場合は、マネージャーが支払う準備ができているコストのしきい値を理解する必要があります。2番目の場合、おそらく大きな例外なく、大きな目に見える劇場で十分です。

BlueCoat Secure Web Gatewayなどのコンテンツフィルタリングデバイスまたはサービス、またはPalo Altoファイアウォールなどのコンテンツフィルタリングを備えたファイアウォールが必要です。このような製品には、オンラインストレージを含む幅広いカテゴリフィルターがあります。

BlueCoatは、ラップトップユーザーに、コンピューターでローカルに実行されるプロキシサービスを介して接続することを強制できるクラウドベースのサービスも提供しますが、中央のソースからコンテンツフィルタリングルールを取得します。

• ブラックリスト

ユーザーがアクセスできないサイトのリストを作成します。

プロ：特定のサービスをブロックします。

短所：大きなリストです。システムのファイアウォールのパフォーマンスが低下する場合があります（通常はそうです！）。バイパスされることもあります。

• ホワイトリスト

ブラックリストに登録されたサイトの大きなリストに依存する代わりに、一部の企業はユーザーがホワイトリストに登録されたサイトにのみアクセスできるホワイトリストを使用しています。

プロ：管理が簡単。

短所：生産性が低下します。

• 送信する情報のサイズをブロックします（POST / GET）。

ファイアウォールによっては、送信する情報のサイズをブロックできるため、一部のファイルを送信できなくなります。

プロ：管理が簡単。

短所：一部のユーザーは、小さなチャンクでファイルを送信することでそれをバイパスできます。たとえば、一部のJavaおよびVisual Studioのwinformsサイトが定期的に多くの情報を送信するなど、一部のWebサイトが破損する可能性があります。

• 非HTTP接続をブロックします。

プロ：設定が簡単。

短所：現在のシステムを破壊する可能性があります。

私の経験では、銀行で働いていました。管理者はusbドライバーへのアクセスをブロックし、一部の制限付きサイトにアクセスしました（ブラックリスト）。ただし、無料のWebホスティングでphpファイルを作成し、問題なく（通常のWebサイトを使用して）ファイルをアップロードできます。それには5分かかりました。

私はいくつかのコメントに同意し、人事ルールを使用する方が簡単で効果的です。