Bloquer l'accès des employés au cloud public


29

Tout d'abord, permettez-moi de dire que ce n'est pas mon idée et je ne veux pas discuter si une telle action est raisonnable.

Cependant, pour une entreprise, existe-t-il un moyen d'empêcher les employés d'accéder aux services de cloud public? En particulier, ils ne devraient pas être en mesure de télécharger des fichiers vers n'importe quel endroit du Web.

Le blocage de HTTPS pourrait être une première solution simple mais très radicale. L'utilisation d'une liste noire d'adresses IP ne suffirait pas non plus. Probablement, une sorte de logiciel est nécessaire pour filtrer le trafic au niveau du contenu. Un proxy peut être utile pour filtrer le trafic HTTPS.

Ce sont mes pensées jusqu'à présent. Qu'est-ce que tu penses? Des idées?


2
Un de nos clients (nous faisons d'autres trucs pour eux) tunnelise tout le trafic via un proxy qui est observé par bluecoat.com De nombreux sites (stockage de fichiers, jeux, hacking, média ...) sont bloqués. Je déteste vraiment ça ...
Reeno

45
Je comprends pourquoi vous dites que vous ne voulez pas en discuter, mais cela patine sur l'une des plus grandes parties de la description de travail d'un bon administrateur système: dire la vérité au pouvoir. Parfois, une idée est stupide à première vue ; d'autres fois, ce n'est pas une mauvaise idée, mais c'est une idée sociale / commerciale, et pas la mieux adaptée à une solution technique. Dans les deux cas, la seule chose correcte à faire pour un administrateur système est de se retourner et de dire « non ».
MadHatter prend en charge Monica le

4
@MadHatter Pourtant, en dehors de cette première intuition que nous partageons, j'essaie au moins de présenter ce qui serait techniquement possible. En dehors de cela, je suis d'accord.
marsze

8
N'est-ce pas à cela que servent les politiques de gestion et d'utilisation acceptable?
user9517 prend en charge GoFundMonica

6
possible: leurs ordinateurs ne sont jamais connectés à Internet, aucun appareil photo (téléphone portable inclus, évidemment) ou appareil d'enregistrement (comme un stylo) n'est autorisé dans le bureau, bureau qui n'a pas de fenêtre que vous pourriez ouvrir ou voir à travers. De plus, vos utilisateurs doivent être entièrement fouillés et effacés de la mémoire à chaque fois qu'ils quittent le bureau, sinon ils peuvent mémoriser quelque chose et le mettre sur Internet plus tard!
njzk2

Réponses:


71

Vous avez essentiellement trois options ici.

1. Déconnectez votre bureau / vos utilisateurs d'Internet

  • S'ils ne peuvent pas accéder au «cloud public», ils ne peuvent rien y télécharger.

2. Compilez une liste noire des services spécifiques dont vous craignez que les utilisateurs accèdent.

  • Cela va être absolument énorme s'il est censé être encore plus efficace à distance.
    • Les utilisateurs avertis pourront toujours trouver un moyen de le contourner - je peux me connecter à mon ordinateur de n'importe où dans le monde avec une connexion Internet, alors ... bonne chance pour me bloquer, par exemple.

3. Faites quelque chose de plus raisonnable / reconnaissez les limites de la technologie.

  • Ce n'est pas votre idée, mais en général, si vous fournissez à la direction les pièges et les dépenses liés à la mise en œuvre d'une solution comme celle-ci, elle sera plus ouverte à de meilleures approches.

    • Parfois, c'est une question de conformité, ou "juste pour les apparences", et ils sont heureux de simplement bloquer les services les plus populaires
    • Parfois, ils ne comprennent vraiment pas à quel point leur demande est folle et ont besoin que vous leur disiez en termes qu'ils peuvent comprendre.
      • J'ai eu un client une fois, alors que je travaillais pour un fournisseur de sécurité informatique, qui voulait que nous fournissions un moyen d'empêcher les employés de divulguer des informations confidentielles avec notre agent AV. J'ai sorti mon smartphone, pris une photo de mon écran et lui ai demandé comment il pouvait empêcher cela, ou même écrire les informations sur un morceau de papier.
      • Utilisez les nouvelles et les événements récents dans votre explication - si l'armée ne pouvait pas arrêter Manning, et la NSA ne pouvait pas arrêter Snowden, qu'est-ce qui vous fait penser que nous pouvons le faire, et combien d'argent pensez-vous que même essayer coûtera?

11
Bonne réponse. La demande ne peut vraiment pas être traitée en dehors de l'actualité de 2.a - en utilisant une WHITELIST. Et puis embaucher des gens pour le gérer;) Parce que l'homme, ce sera beaucoup de travail. Peut-être moins qu'une liste noire. Et toujours rien réaliser (belle idée avec le smartphone). Demande surréaliste.
TomTom

1
@TomTom Oui, j'ai pensé à la liste blanche, mais partout où j'ai jamais vu, la liste blanche des parties d'Internet auxquelles ils veulent accéder est beaucoup plus grande que la liste noire des services dont ils ont peur irrationnellement / ne veulent pas d'employés accès.
HopelessN00b

1
Je pense que cela dépend. Par exemple, sur ma société, la liste blanche ne compterait peut-être que 300 articles. Requis pour les affaires. Une liste noire commencera à tout gérer. En plus, la liste blanche que vous gagnez (toujours valable, commence par 0 entrées) - la liste noire dont vous ne savez même pas par où commencer. Mais généralement, ce sont des tentatives vaines.
TomTom

3
À mon humble avis, le blocage des 10 sites les plus évidents atteindrait probablement 95% de ce que la gestion recherche. Personne ne se soucie des quelques nerds qui creuseront un tunnel autour du bloc.
Steve Bennett

3
@SteveBennett Bien que cela soit probablement vrai, il n'est pas sûr de supposer que la direction ne se soucie pas des 5% et / ou des personnes qui peuvent et vont contourner le système. Si les ressources techniques ne permettent pas à la direction de connaître les limites du système, ce sont les ressources techniques dont les têtes roulent lorsque quelqu'un télécharge toute l'IP de l'entreprise sur BitTorrent (ou tout incident qui ramène ce problème à l'attention de la direction).
HopelessN00b

30

Il n'y a aucun moyen de le bloquer complètement, bien sûr, à moins que le réseau d'entreprise ne soit déconnecté d'Internet.

Si vous voulez vraiment quelque chose qui devrait fonctionner la plupart du temps tout en étant principalement transparent, vous devrez renifler les paquets en profondeur . Configurez un proxy SSL / TLS man-in-the-middle, ainsi qu'un proxy pour les communications non cryptées, et bloquez tout le trafic qui ne passe pas par l'un d'entre eux.

  • Bloquer les requêtes HTTP PUT
  • Bloquer toutes les requêtes HTTP POST dont le type de contenu n'est pas application / x-www-form-urlencoded ou multipart / form-data
  • Pour les requêtes HTTP POST de type multipart / form-data, supprimez les champs avec une disposition de contenu de "fichier" (mais laissez passer les autres champs).
  • Bloquer le trafic FTP, BitTorrent et SMTP
  • Bloquez tout le trafic vers les principaux services de messagerie Web et vers les principaux sites de stockage de fichiers publics.

Comme vous pouvez le voir, c'est une entreprise massive et douloureuse. C'est également loin d'être invulnérable : je pense à plusieurs solutions de contournement au moment même où j'écris ceci, dont certaines ne peuvent pas être gérées sans interrompre fondamentalement les connexions Web de vos utilisateurs, et il y aura probablement des commentaires montrant beaucoup plus que je n'ai pas fait penser à. Mais il devrait laisser passer la plupart du trafic, tout en filtrant les moyens les plus simples d'éliminer le téléchargement de fichiers.

L'essentiel, c'est que cela pose plus de problèmes qu'il n'en vaut la peine.

La meilleure réponse serait d'entamer une sorte de négociation avec vos patrons: découvrez ce qu'ils veulent vraiment (probablement la protection des secrets commerciaux ou la prévention de la responsabilité), et expliquez pourquoi ces mesures technologiques impraticables ne leur donneront pas ce qu'ils veulent. Ensuite, vous pouvez trouver des solutions à leurs problèmes qui n'impliquent pas de mesures technologiques impraticables.

Ne vous inquiétez pas de l'idéologie dans ces discussions: tout ce que vous avez à faire est de vous concentrer sur ce qui fonctionnera et ce qui ne fonctionnera pas . Vous y trouverez tous les arguments dont vous avez besoin, et bien que cela frustrera sans aucun doute vous et vos patrons, cela évite de porter des jugements de valeur contre eux (ce qui pourrait être mérité, mais ne fera que rompre les discussions, et c'est mauvais) ).


4
+1 pour avoir donné quelques suggestions de mise en œuvre utiles et également pour avoir présenté un point de vue sur cette question dans une perspective plus large!
marsze

26

Ce que HopelessN00b a dit. Je voulais juste ajouter cela:

J'ai une amie qui travaille dans une agence gouvernementale où elle n'est pas autorisée à apporter un téléphone portable avec un appareil photo au bureau. Elle dit généralement que "je n'ai pas le droit de posséder un téléphone portable avec un appareil photo" parce que, eh bien. Si elle ne peut pas emmener son portable avec elle, pourquoi en posséder un? Elle a du mal à trouver des téléphones portables sans caméra.

J'ai travaillé pour d'autres endroits de type haute sécurité qui "résoudraient" ce problème via le fascisme administratif :

  • Une politique officielle selon laquelle l'accès à votre messagerie personnelle depuis votre poste de travail est une infraction de licenciement.
  • Une politique officielle selon laquelle l'accès à un service cloud à partir de votre poste de travail est une infraction de licenciement.
  • Une politique officielle qui consiste à brancher une clé USB, un iPod ou un téléphone portable sur un poste de travail est une infraction de licenciement.
  • Une politique officielle selon laquelle l'accès aux médias sociaux à partir de votre poste de travail est une infraction de licenciement.
  • Une politique officielle selon laquelle l'installation de logiciels non autorisés sur votre poste de travail est une infraction de licenciement.
  • Une politique officielle selon laquelle l'accès à vos services bancaires en ligne personnels à partir de votre poste de travail est une infraction de licenciement.
  • Un pare-feu / proxy d'entreprise épique qui a plusieurs / la plupart de ces sites bloqués. Toute tentative d'accès à facebook.com, par exemple, entraîne une sélection de «Ce site bloqué par ETRM». Ils bloquaient parfois des choses comme Stack Overflow comme "piratage" également.
  • Certaines "infractions" méritent un e-mail envoyé à toute votre équipe indiquant que vous avez accédé à un site non autorisé (par opposition au licenciement ... cette fois). ("Katherine Villyard a consulté http://icanhas.cheezburger.com/ à 15h21 !")
  • Forcer tous les nouveaux employés à suivre un cours de "politique de sécurité" expliquant ces règles, et obliger les gens à suivre des cours de recyclage réguliers sur ces règles. Et puis prenez et passez un quiz sur eux.

Les endroits qui s'appuient sur le fascisme administratif ne font généralement que des tentatives rapides pour sauvegarder ces règles par des moyens techniques, selon mon expérience. Par exemple, ils disent qu'ils vont vous licencier si vous branchez une clé USB, mais ils ne désactivent pas l'USB. Ils bloquent Facebook via http mais pas via https. Et, comme HopelessN00b l'a souligné, les utilisateurs avertis le savent et se moquent de cela.


2
Il existe en fait des solutions techniques sur lesquelles vous pouvez compter pour désactiver les périphériques USB (tous les agents AV que j'ai vus depuis des années peuvent le faire assez efficacement), ou bloquer l'accès à [certaines] catégories bien définies de sites Web. Le problème pour l'OP est que le "cloud public" / "les endroits où les utilisateurs peuvent télécharger des données" n'est pas une catégorie bien définie (et ne le sera pas de si tôt), donc il ne peut même pas suggérer un filtre Web comme solution au problème ... il va devoir faire une liste noire personnalisée ou gérer les convices pour voir la raison.
HopelessN00b

Je sais et je suis d'accord. Je n'ai certainement pas présenté cette liste pour l'appuyer comme une ligne de conduite. :)
Katherine Villyard

9
Techniquement, les clouds publics incluent tous les hébergeurs, car il est trivial de louer un site Web et d'y mettre un élément de téléchargement de fichiers. Aie. Problème non résoluble.
TomTom

Pendant de nombreuses années, les employés du lieu de travail de mon père n'étaient pas autorisés à porter des téléphones avec un appareil photo au bureau. Finalement, l'entreprise est passée à une politique autorisant les téléphones d'entreprise (mûres à l'époque, iphones maintenant), mais pas les téléphones personnels.
Brian S

De nombreux téléphones intelligents utilisent un appareil photo modulaire qui peut être retiré avec un petit effort. Ce n'est pas quelque chose que vous aimeriez faire à plusieurs reprises car cela peut nécessiter un outillage étrange pour être sûr, mais cela permettrait d'utiliser un combiné contemporain et utile dans une zone restreinte.
Pekka

19

En fait, il existe une solution simple à condition de ne pas s'attendre à ce que votre réseau interne soit exposé à Internet en même temps.

Vos PC doivent simplement être complètement bloqués pour accéder à Internet. Tous les ports USB bloqués, etc.

Pour accéder à Internet, les utilisateurs doivent alors utiliser un autre ordinateur - connecté à un autre réseau - ou se connecter via RDP à un serveur Terminal Server qui a accès à Internet. Vous désactivez le presse-papiers sur RDP et aucun partage Windows. De cette façon, les utilisateurs ne peuvent pas copier de fichiers sur les serveurs Terminal Server Internet et ne peuvent donc pas envoyer de fichiers.

Cela laisse des e-mails ... c'est votre plus grande faille si vous autorisez les e-mails sur les PC internes.


3
Cela semble snippy, mais malheureusement c'est la vérité. À peu près la seule façon de résoudre ce problème.
TomTom

2
Nous avons déjà mis en place cette solution (Internet et e-mail via le serveur de terminaux uniquement) pour certaines parties de notre entreprise. Cependant, pour les développeurs de logiciels, ne pas avoir du tout accès à Internet serait évidemment très gênant ...
marsze

@marsze - Je l'ai vu résolu avec un proxy de liste blanche où les quelques choses dont les programmeurs ont besoin directement sur leur boîte (comme le dépôt Maven) sont autorisées via le proxy.
ETL

1
Cela laisse un stylo et un papier, ou tout simplement de la mémoire.
njzk2

1
@marsze J'ai travaillé dans une entreprise avec des réseaux séparés qui a fait cela en donnant aux développeurs deux machines. Un costaud pour effectuer des travaux de développement, connecté au réseau à accès interne uniquement, et un autre (client léger ou ancien boîtier clunker) qui était connecté à un réseau qui avait accès à Internet. Une solution efficace, quoique simpliste et plus chère.
HopelessN00b

5

Vous savez cette vieille plaisanterie selon laquelle, si vous et un halfelin sont pourchassés par un dragon en colère, vous n'avez pas à courir plus vite que le dragon, vous devez seulement être plus rapide que le halfelin? En supposant que des utilisateurs non malveillants *, vous n'avez pas à restreindre leur accès au cloud public, il suffit de rendre l'utilisation du cloud public inférieure à celle de toute solution d'entreprise que vous avez pour l'accès aux données sans bureau . Correctement mis en œuvre, cela réduira fortement le risque de fuites non malveillantes et est réalisable avec une fraction du coût.

Dans la plupart des cas, une simple liste noire devrait suffire. Mettez Google Drive, Dropbox et le cloud Apple dessus. Bloquez également le trafic vers Amazon AWS - la plupart de ces startups à chaud qui construisent encore un autre service cloud ne construisent pas leur propre centre de données. Vous venez de réduire le nombre d'employés qui savent comment accéder au cloud public de 90% à 15% (des chiffres très approximatifs, varient selon l'industrie). Utilisez un message d'erreur approprié pour expliquer pourquoi les clouds publics sont interdits, ce qui réduira leur impression de censure gratuite (malheureusement, il y aura toujours des utilisateurs qui ne voudront pas comprendre).

Les 15% restants peuvent toujours atteindre les fournisseurs qui ne figurent pas sur la liste noire, mais ils ne prendront probablement pas la peine de le faire. Google Drive and Co est soumis à de forts effets positifs sur le réseau (le type économique, pas le type technique). Tout le monde utilise les mêmes services 2-3, donc ils sont intégrés partout. Les utilisateurs créent des flux de travail pratiques et rationalisés qui incluent ces services. Si le fournisseur de cloud alternatif ne peut pas être intégré dans un tel flux de travail, les utilisateurs ne sont pas incités à l'utiliser. Et j'espère que vous avez une solution d'entreprise pour l'utilisation la plus basique d'un cloud comme le stockage de fichiers dans un endroit central, accessible depuis un emplacement physique en dehors du campus (avec VPN si la sécurité est nécessaire).

Ajoutez à cette solution de nombreuses mesures et analyses. (Cela est toujours nécessaire pour les utilisateurs). Prélevez des échantillons de trafic, en particulier s'ils présentent des schémas suspects (trafic en amont en rafales suffisamment important pour être chargé de documents, dirigé vers le même domaine). Jetez un œil humain aux domaines suspects identifiés, et si vous trouvez qu'il s'agit d'un fournisseur de cloud, découvrez pourquoiles utilisateurs l'utilisent, discutent avec la direction de la possibilité de proposer une alternative avec une convivialité égale, éduquent l'utilisateur incriminé sur l'alternative. Ce serait formidable si votre culture d'entreprise vous permet de rééduquer doucement les utilisateurs capturés sans appliquer de mesures disciplinaires les premières fois - alors ils n'essaieront pas de vous cacher particulièrement durement, et vous pourrez facilement détecter les écarts et faire face à la situation d'une manière qui réduit le risque de sécurité tout en permettant à l'utilisateur de faire son travail efficacement.

Un gestionnaire raisonnable ** comprendra que cette liste noire entraînera des pertes de productivité. Les utilisateurs avaient une raison d'utiliser le cloud public - ils sont incités à être productifs et le flux de travail pratique a augmenté leur productivité (y compris la quantité d'heures supplémentaires non rémunérées qu'ils sont prêts à faire). C'est le travail d'un gestionnaire d'évaluer le compromis entre la perte de productivité et les risques de sécurité et de vous dire s'il est disposé à laisser la situation telle quelle, à mettre en œuvre la liste noire ou à opter pour des mesures dignes des services secrets (qui sont très gênant et n'offre toujours pas une sécurité à 100%).


[*] Je sais que les personnes dont le travail est la sécurité pensent d'abord à l'intention criminelle. Et en effet, un criminel déterminé est beaucoup plus difficile à arrêter et peut infliger des dommages bien pires qu'un utilisateur non malveillant. Mais en réalité, peu d'organisations s'infiltrent. La plupart des problèmes de sécurité sont liés à la maladresse d'utilisateurs bien intentionnés qui ne réalisent pas les conséquences de leurs actions. Et parce qu'ils sont si nombreux, la menace qu'ils représentent doit être prise aussi au sérieux que l'espion le plus dangereux, mais beaucoup plus rare.

[**] Je suis conscient que, si vos patrons ont déjà fait cette demande, il est probable qu'ils ne sont pas du type raisonnable. S'ils sont raisonnables mais simplement mal orientés, c'est parfait. S'ils sont déraisonnables et têtus, c'est malheureux, mais vous devez trouver un moyen de négocier avec eux. Offrir une solution aussi partielle, même si vous ne pouvez pas les faire accepter, peut être un bon choix stratégique - correctement présenté, cela leur montre que vous êtes "de leur côté", prenez leurs préoccupations au sérieux et êtes prêt à chercher pour des alternatives aux exigences techniquement irréalisables.


4

Votre direction vous demande de fermer la boîte de Pandore.

Bien que vous puissiez, en principe, empêcher le téléchargement de toute documentation pour tous les mécanismes possibles connus, vous ne pourrez pas empêcher l'utilisation d'exploits zero-day (ou l'équivalent de vous).

Cela dit, un pare-feu d'authentification pour identifier à la fois l'utilisateur et le poste de travail peut être implémenté pour restreindre l'accès avec ACL que vous désirez. Vous pouvez intégrer un service de réputation comme décrit dans certaines des autres réponses pour vous aider à gérer le processus.

La vraie question est de savoir s'il s'agit de sécurité ou de contrôle . S'il s'agit du premier, vous devez comprendre le seuil de coût que vos gestionnaires sont prêts à payer. Si c'est le second, alors probablement un grand théâtre visible sera suffisant pour les convaincre que vous avez livré, à quelques exceptions près.


3

Vous avez besoin d'un périphérique ou d'un service de filtrage de contenu, tel que BlueCoat Secure Web Gateway, ou d'un pare-feu avec filtrage de contenu, tel qu'un pare-feu Palo Alto. Des produits comme celui-ci ont de larges filtres de catégorie qui incluent le stockage en ligne.

BlueCoat propose même un service basé sur le cloud où vous pouvez forcer les utilisateurs de votre ordinateur portable à se connecter via un service proxy qui s'exécute localement sur leur ordinateur, mais prend les règles de filtrage de contenu à partir d'une source centrale.


2
  • Liste noire

Créez une liste de sites auxquels les utilisateurs ne peuvent pas accéder.

Pro: Bloquer un service spécifique.

Inconvénients: Une grande liste, parfois cela pourrait nuire aux performances du pare-feu du système (généralement c'est le cas!). Parfois, il pouvait être contourné.

  • WhiteList

Au lieu de s'appuyer sur une grande liste de sites sur liste noire, certaines entreprises utilisent une liste blanche où les utilisateurs ne peuvent accéder qu'aux sites sur liste blanche.

Pro: facile à gérer.

Inconvénients: cela nuit à la productivité.

  • Bloquer la taille de l'envoi d'informations (POST / GET).

Certains pare-feu permettent de bloquer la taille des informations envoyées, rendant impossible l'envoi de certains fichiers.

Pro: Facile à gérer.

Inconvénients: certains utilisateurs pourraient le contourner en envoyant des fichiers en petits morceaux. Cela pourrait casser certains sites Web, par exemple, certains sites Java et Visual Wins Forms envoient régulièrement de nombreuses informations.

  • Bloquer les connexions non HTTP.

Pro: facile à configurer.

Inconvénients: cela pourrait casser les systèmes actuels.

D'après mon expérience, j'ai travaillé pour une banque. Les administrateurs ont bloqué l'accès au pilote USB et l'accès à certains sites restreints (liste noire). Cependant, j'ai créé un fichier php dans un hébergement Web gratuit et je peux télécharger mes fichiers sans aucun problème (en utilisant un site Web normal). Cela m'a pris 5 minutes pour le faire.

Je suis d'accord avec certains commentaires, il est facile et plus efficace d'utiliser des règles de ressources humaines.


Une idée récente était une approche combinée: une liste noire pour HTTP, une liste blanche pour HTTPS. Quant aux autres solutions: il sera toujours nécessaire de tester ce qui peut être mis en œuvre sans casser les systèmes existants, car cela diffère d'un cas à l'autre.
marsze
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.