Bloquer l'accès des employés au cloud public

Tout d'abord, permettez-moi de dire que ce n'est pas mon idée et je ne veux pas discuter si une telle action est raisonnable.

Cependant, pour une entreprise, existe-t-il un moyen d'empêcher les employés d'accéder aux services de cloud public? En particulier, ils ne devraient pas être en mesure de télécharger des fichiers vers n'importe quel endroit du Web.

Le blocage de HTTPS pourrait être une première solution simple mais très radicale. L'utilisation d'une liste noire d'adresses IP ne suffirait pas non plus. Probablement, une sorte de logiciel est nécessaire pour filtrer le trafic au niveau du contenu. Un proxy peut être utile pour filtrer le trafic HTTPS.

Ce sont mes pensées jusqu'à présent. Qu'est-ce que tu penses? Des idées?

Vous avez essentiellement trois options ici.

1. Déconnectez votre bureau / vos utilisateurs d'Internet

• S'ils ne peuvent pas accéder au «cloud public», ils ne peuvent rien y télécharger.
  
  

2. Compilez une liste noire des services spécifiques dont vous craignez que les utilisateurs accèdent.

• Cela va être absolument énorme s'il est censé être encore plus efficace à distance.
  • Les utilisateurs avertis pourront toujours trouver un moyen de le contourner - je peux me connecter à mon ordinateur de n'importe où dans le monde avec une connexion Internet, alors ... bonne chance pour me bloquer, par exemple.
    
    

3. Faites quelque chose de plus raisonnable / reconnaissez les limites de la technologie.

• Ce n'est pas votre idée, mais en général, si vous fournissez à la direction les pièges et les dépenses liés à la mise en œuvre d'une solution comme celle-ci, elle sera plus ouverte à de meilleures approches.

  • Parfois, c'est une question de conformité, ou "juste pour les apparences", et ils sont heureux de simplement bloquer les services les plus populaires
  • Parfois, ils ne comprennent vraiment pas à quel point leur demande est folle et ont besoin que vous leur disiez en termes qu'ils peuvent comprendre.
    • J'ai eu un client une fois, alors que je travaillais pour un fournisseur de sécurité informatique, qui voulait que nous fournissions un moyen d'empêcher les employés de divulguer des informations confidentielles avec notre agent AV. J'ai sorti mon smartphone, pris une photo de mon écran et lui ai demandé comment il pouvait empêcher cela, ou même écrire les informations sur un morceau de papier.
    • Utilisez les nouvelles et les événements récents dans votre explication - si l'armée ne pouvait pas arrêter Manning, et la NSA ne pouvait pas arrêter Snowden, qu'est-ce qui vous fait penser que nous pouvons le faire, et combien d'argent pensez-vous que même essayer coûtera?

Il n'y a aucun moyen de le bloquer complètement, bien sûr, à moins que le réseau d'entreprise ne soit déconnecté d'Internet.

Si vous voulez vraiment quelque chose qui devrait fonctionner la plupart du temps tout en étant principalement transparent, vous devrez renifler les paquets en profondeur . Configurez un proxy SSL / TLS man-in-the-middle, ainsi qu'un proxy pour les communications non cryptées, et bloquez tout le trafic qui ne passe pas par l'un d'entre eux.

• Bloquer les requêtes HTTP PUT
• Bloquer toutes les requêtes HTTP POST dont le type de contenu n'est pas application / x-www-form-urlencoded ou multipart / form-data
• Pour les requêtes HTTP POST de type multipart / form-data, supprimez les champs avec une disposition de contenu de "fichier" (mais laissez passer les autres champs).
• Bloquer le trafic FTP, BitTorrent et SMTP
• Bloquez tout le trafic vers les principaux services de messagerie Web et vers les principaux sites de stockage de fichiers publics.

Comme vous pouvez le voir, c'est une entreprise massive et douloureuse. C'est également loin d'être invulnérable : je pense à plusieurs solutions de contournement au moment même où j'écris ceci, dont certaines ne peuvent pas être gérées sans interrompre fondamentalement les connexions Web de vos utilisateurs, et il y aura probablement des commentaires montrant beaucoup plus que je n'ai pas fait penser à. Mais il devrait laisser passer la plupart du trafic, tout en filtrant les moyens les plus simples d'éliminer le téléchargement de fichiers.

L'essentiel, c'est que cela pose plus de problèmes qu'il n'en vaut la peine.

La meilleure réponse serait d'entamer une sorte de négociation avec vos patrons: découvrez ce qu'ils veulent vraiment (probablement la protection des secrets commerciaux ou la prévention de la responsabilité), et expliquez pourquoi ces mesures technologiques impraticables ne leur donneront pas ce qu'ils veulent. Ensuite, vous pouvez trouver des solutions à leurs problèmes qui n'impliquent pas de mesures technologiques impraticables.

Ne vous inquiétez pas de l'idéologie dans ces discussions: tout ce que vous avez à faire est de vous concentrer sur ce qui fonctionnera et ce qui ne fonctionnera pas . Vous y trouverez tous les arguments dont vous avez besoin, et bien que cela frustrera sans aucun doute vous et vos patrons, cela évite de porter des jugements de valeur contre eux (ce qui pourrait être mérité, mais ne fera que rompre les discussions, et c'est mauvais) ).

Ce que HopelessN00b a dit. Je voulais juste ajouter cela:

J'ai une amie qui travaille dans une agence gouvernementale où elle n'est pas autorisée à apporter un téléphone portable avec un appareil photo au bureau. Elle dit généralement que "je n'ai pas le droit de posséder un téléphone portable avec un appareil photo" parce que, eh bien. Si elle ne peut pas emmener son portable avec elle, pourquoi en posséder un? Elle a du mal à trouver des téléphones portables sans caméra.

J'ai travaillé pour d'autres endroits de type haute sécurité qui "résoudraient" ce problème via le fascisme administratif :

• Une politique officielle selon laquelle l'accès à votre messagerie personnelle depuis votre poste de travail est une infraction de licenciement.
• Une politique officielle selon laquelle l'accès à un service cloud à partir de votre poste de travail est une infraction de licenciement.
• Une politique officielle qui consiste à brancher une clé USB, un iPod ou un téléphone portable sur un poste de travail est une infraction de licenciement.
• Une politique officielle selon laquelle l'accès aux médias sociaux à partir de votre poste de travail est une infraction de licenciement.
• Une politique officielle selon laquelle l'installation de logiciels non autorisés sur votre poste de travail est une infraction de licenciement.
• Une politique officielle selon laquelle l'accès à vos services bancaires en ligne personnels à partir de votre poste de travail est une infraction de licenciement.
• Un pare-feu / proxy d'entreprise épique qui a plusieurs / la plupart de ces sites bloqués. Toute tentative d'accès à facebook.com, par exemple, entraîne une sélection de «Ce site bloqué par ETRM». Ils bloquaient parfois des choses comme Stack Overflow comme "piratage" également.
• Certaines "infractions" méritent un e-mail envoyé à toute votre équipe indiquant que vous avez accédé à un site non autorisé (par opposition au licenciement ... cette fois). ("Katherine Villyard a consulté http://icanhas.cheezburger.com/ à 15h21 !")
• Forcer tous les nouveaux employés à suivre un cours de "politique de sécurité" expliquant ces règles, et obliger les gens à suivre des cours de recyclage réguliers sur ces règles. Et puis prenez et passez un quiz sur eux.

Les endroits qui s'appuient sur le fascisme administratif ne font généralement que des tentatives rapides pour sauvegarder ces règles par des moyens techniques, selon mon expérience. Par exemple, ils disent qu'ils vont vous licencier si vous branchez une clé USB, mais ils ne désactivent pas l'USB. Ils bloquent Facebook via http mais pas via https. Et, comme HopelessN00b l'a souligné, les utilisateurs avertis le savent et se moquent de cela.

En fait, il existe une solution simple à condition de ne pas s'attendre à ce que votre réseau interne soit exposé à Internet en même temps.

Vos PC doivent simplement être complètement bloqués pour accéder à Internet. Tous les ports USB bloqués, etc.

Pour accéder à Internet, les utilisateurs doivent alors utiliser un autre ordinateur - connecté à un autre réseau - ou se connecter via RDP à un serveur Terminal Server qui a accès à Internet. Vous désactivez le presse-papiers sur RDP et aucun partage Windows. De cette façon, les utilisateurs ne peuvent pas copier de fichiers sur les serveurs Terminal Server Internet et ne peuvent donc pas envoyer de fichiers.

Cela laisse des e-mails ... c'est votre plus grande faille si vous autorisez les e-mails sur les PC internes.

Vous savez cette vieille plaisanterie selon laquelle, si vous et un halfelin sont pourchassés par un dragon en colère, vous n'avez pas à courir plus vite que le dragon, vous devez seulement être plus rapide que le halfelin? En supposant que des utilisateurs non malveillants *, vous n'avez pas à restreindre leur accès au cloud public, il suffit de rendre l'utilisation du cloud public inférieure à celle de toute solution d'entreprise que vous avez pour l'accès aux données sans bureau . Correctement mis en œuvre, cela réduira fortement le risque de fuites non malveillantes et est réalisable avec une fraction du coût.

Dans la plupart des cas, une simple liste noire devrait suffire. Mettez Google Drive, Dropbox et le cloud Apple dessus. Bloquez également le trafic vers Amazon AWS - la plupart de ces startups à chaud qui construisent encore un autre service cloud ne construisent pas leur propre centre de données. Vous venez de réduire le nombre d'employés qui savent comment accéder au cloud public de 90% à 15% (des chiffres très approximatifs, varient selon l'industrie). Utilisez un message d'erreur approprié pour expliquer pourquoi les clouds publics sont interdits, ce qui réduira leur impression de censure gratuite (malheureusement, il y aura toujours des utilisateurs qui ne voudront pas comprendre).

Les 15% restants peuvent toujours atteindre les fournisseurs qui ne figurent pas sur la liste noire, mais ils ne prendront probablement pas la peine de le faire. Google Drive and Co est soumis à de forts effets positifs sur le réseau (le type économique, pas le type technique). Tout le monde utilise les mêmes services 2-3, donc ils sont intégrés partout. Les utilisateurs créent des flux de travail pratiques et rationalisés qui incluent ces services. Si le fournisseur de cloud alternatif ne peut pas être intégré dans un tel flux de travail, les utilisateurs ne sont pas incités à l'utiliser. Et j'espère que vous avez une solution d'entreprise pour l'utilisation la plus basique d'un cloud comme le stockage de fichiers dans un endroit central, accessible depuis un emplacement physique en dehors du campus (avec VPN si la sécurité est nécessaire).

Ajoutez à cette solution de nombreuses mesures et analyses. (Cela est toujours nécessaire pour les utilisateurs). Prélevez des échantillons de trafic, en particulier s'ils présentent des schémas suspects (trafic en amont en rafales suffisamment important pour être chargé de documents, dirigé vers le même domaine). Jetez un œil humain aux domaines suspects identifiés, et si vous trouvez qu'il s'agit d'un fournisseur de cloud, découvrez pourquoiles utilisateurs l'utilisent, discutent avec la direction de la possibilité de proposer une alternative avec une convivialité égale, éduquent l'utilisateur incriminé sur l'alternative. Ce serait formidable si votre culture d'entreprise vous permet de rééduquer doucement les utilisateurs capturés sans appliquer de mesures disciplinaires les premières fois - alors ils n'essaieront pas de vous cacher particulièrement durement, et vous pourrez facilement détecter les écarts et faire face à la situation d'une manière qui réduit le risque de sécurité tout en permettant à l'utilisateur de faire son travail efficacement.

Un gestionnaire raisonnable ** comprendra que cette liste noire entraînera des pertes de productivité. Les utilisateurs avaient une raison d'utiliser le cloud public - ils sont incités à être productifs et le flux de travail pratique a augmenté leur productivité (y compris la quantité d'heures supplémentaires non rémunérées qu'ils sont prêts à faire). C'est le travail d'un gestionnaire d'évaluer le compromis entre la perte de productivité et les risques de sécurité et de vous dire s'il est disposé à laisser la situation telle quelle, à mettre en œuvre la liste noire ou à opter pour des mesures dignes des services secrets (qui sont très gênant et n'offre toujours pas une sécurité à 100%).

[*] Je sais que les personnes dont le travail est la sécurité pensent d'abord à l'intention criminelle. Et en effet, un criminel déterminé est beaucoup plus difficile à arrêter et peut infliger des dommages bien pires qu'un utilisateur non malveillant. Mais en réalité, peu d'organisations s'infiltrent. La plupart des problèmes de sécurité sont liés à la maladresse d'utilisateurs bien intentionnés qui ne réalisent pas les conséquences de leurs actions. Et parce qu'ils sont si nombreux, la menace qu'ils représentent doit être prise aussi au sérieux que l'espion le plus dangereux, mais beaucoup plus rare.

[**] Je suis conscient que, si vos patrons ont déjà fait cette demande, il est probable qu'ils ne sont pas du type raisonnable. S'ils sont raisonnables mais simplement mal orientés, c'est parfait. S'ils sont déraisonnables et têtus, c'est malheureux, mais vous devez trouver un moyen de négocier avec eux. Offrir une solution aussi partielle, même si vous ne pouvez pas les faire accepter, peut être un bon choix stratégique - correctement présenté, cela leur montre que vous êtes "de leur côté", prenez leurs préoccupations au sérieux et êtes prêt à chercher pour des alternatives aux exigences techniquement irréalisables.

Votre direction vous demande de fermer la boîte de Pandore.

Bien que vous puissiez, en principe, empêcher le téléchargement de toute documentation pour tous les mécanismes possibles connus, vous ne pourrez pas empêcher l'utilisation d'exploits zero-day (ou l'équivalent de vous).

Cela dit, un pare-feu d'authentification pour identifier à la fois l'utilisateur et le poste de travail peut être implémenté pour restreindre l'accès avec ACL que vous désirez. Vous pouvez intégrer un service de réputation comme décrit dans certaines des autres réponses pour vous aider à gérer le processus.

La vraie question est de savoir s'il s'agit de sécurité ou de contrôle . S'il s'agit du premier, vous devez comprendre le seuil de coût que vos gestionnaires sont prêts à payer. Si c'est le second, alors probablement un grand théâtre visible sera suffisant pour les convaincre que vous avez livré, à quelques exceptions près.

Vous avez besoin d'un périphérique ou d'un service de filtrage de contenu, tel que BlueCoat Secure Web Gateway, ou d'un pare-feu avec filtrage de contenu, tel qu'un pare-feu Palo Alto. Des produits comme celui-ci ont de larges filtres de catégorie qui incluent le stockage en ligne.

BlueCoat propose même un service basé sur le cloud où vous pouvez forcer les utilisateurs de votre ordinateur portable à se connecter via un service proxy qui s'exécute localement sur leur ordinateur, mais prend les règles de filtrage de contenu à partir d'une source centrale.

• Liste noire

Créez une liste de sites auxquels les utilisateurs ne peuvent pas accéder.

Pro: Bloquer un service spécifique.

Inconvénients: Une grande liste, parfois cela pourrait nuire aux performances du pare-feu du système (généralement c'est le cas!). Parfois, il pouvait être contourné.

• WhiteList

Au lieu de s'appuyer sur une grande liste de sites sur liste noire, certaines entreprises utilisent une liste blanche où les utilisateurs ne peuvent accéder qu'aux sites sur liste blanche.

Pro: facile à gérer.

Inconvénients: cela nuit à la productivité.

• Bloquer la taille de l'envoi d'informations (POST / GET).

Certains pare-feu permettent de bloquer la taille des informations envoyées, rendant impossible l'envoi de certains fichiers.

Pro: Facile à gérer.

Inconvénients: certains utilisateurs pourraient le contourner en envoyant des fichiers en petits morceaux. Cela pourrait casser certains sites Web, par exemple, certains sites Java et Visual Wins Forms envoient régulièrement de nombreuses informations.

• Bloquer les connexions non HTTP.

Pro: facile à configurer.

Inconvénients: cela pourrait casser les systèmes actuels.

D'après mon expérience, j'ai travaillé pour une banque. Les administrateurs ont bloqué l'accès au pilote USB et l'accès à certains sites restreints (liste noire). Cependant, j'ai créé un fichier php dans un hébergement Web gratuit et je peux télécharger mes fichiers sans aucun problème (en utilisant un site Web normal). Cela m'a pris 5 minutes pour le faire.

Je suis d'accord avec certains commentaires, il est facile et plus efficace d'utiliser des règles de ressources humaines.