パブリッククラウドへの従業員のアクセスをブロックする

もちろん、企業ネットワークがインターネットから切断されない限り、完全にブロックする方法はありません。

あなたが本当に動作するはずの何かが欲しい場合ほとんどの時間mostly透過的、パケットを深くスニフする必要があります。中間者SSL/TLSプロキシと暗号化されていない通信用のプロキシを設定し、これらのいずれかを通過しないすべてのトラフィックをブロックします。

• HTTP PUTリクエストをブロックする
• すべてのHTTPをブロックするPOST content-typeがapplication/x-www-form-urlencodedまたはmultipart/form-dataでないリクエスト
• HTTP POST multipart/form-dataタイプのリクエストの場合、content-dispositionが "file"のフィールドを削除します（ただし、他のフィールドは通過させます）。
• FTP、BitTorrent、SMTPトラフィックをブロックする
• 主要なWebメールサービスと主要なパブリックファイルストレージサイトへのすべてのトラフィックをブロックします。

ご覧のとおり、これは大規模でつらい仕事です。 これも不死身とは程遠い：これを書いてもいくつかの回避策を考えています。ユーザーのWeb接続を根本的に切断しないと対処できないものもあり、おそらくコメントが表示されます私が考えていなかった多くのこと。しかし、mostトラフィックを通過させ、ファイルのアップロードを排除する最も簡単な方法を除外する必要があります。

一番下の行は、これはそれが価値があるよりも面倒であるということです。

最良の答えは、上司と一種の交渉を始めることです：彼らが本当にが何を望んでいるかを見つけます（おそらく、営業秘密の保護または責任の防止のいずれか） ）、そしてなぜこれらの実行不可能な技術的対策が彼らが望むものを得られないのかを指摘します。次に、実行不可能な技術的対策を伴わない問題の解決策を見つけることができます。

これらの議論でイデオロギーについて心配しないでください。あなたがしなければならないことは、何が機能し何が機能しないかに焦点を当てることです。あなたはそこに必要なすべての議論を見つけるでしょう、そしてこれは間違いなくあなたとあなたの上司の両方を苛立たせますが、それはそれらに対して価値判断を渡すことを避けます（それは当然かもしれませんが、交渉を崩壊させるだけであり、それは悪いです）。

HopelessN00bの発言。私はそれを追加したかっただけです：

カメラ付きの携帯電話をオフィスに持ち込むことが許可されていない政府機関で仕事をしている友達がいます。彼女は通常、「カメラ付きの携帯電話を所有することは許可されていません」と言います。彼女が彼女の独房を彼女と一緒に運ぶことができないなら、なぜそれを所有するのですか？彼女はカメラを持っていない携帯電話を見つけるのに苦労しています。

私は administrative fascism によってこの問題を「解決」する他の高セキュリティタイプの場所で働いてきました。

• ワークステーションから個人の電子メールにアクセスするという公式のポリシーは、非難の的です。
• ワークステーションからクラウドサービスにアクセスすることの公式ポリシーは、違反行為です。
• サムドライブ、iPod、または携帯電話をワークステーションに接続するという公式の方針は、発砲罪です。
• ワークステーションからソーシャルメディアにアクセスするという公式のポリシーは、非難の的です。
• ワークステーションに不正なソフトウェアをインストールすることは公式なポリシーであり、これは反則です。
• ワークステーションから個人のオンラインバンキングにアクセスするという公式のポリシーは、非難の的です。
• これらのサイトの多く/ほとんどがブロックされている壮大な企業ファイアウォール/プロキシ。たとえば、facebook.comにアクセスしようとすると、「このサイトはETRMによってブロックされています」という画面が表示されます。また、Stack Overflowなどを「ハッキング」としてブロックすることもあります。
• 「攻撃」の中には、不正なサイトにアクセスしたことを伝えるメールがチーム全体に送信されるというメリットがあります（今回は発砲ではなく...）。 （ "キャサリンヴィリヤードにアクセス http://icanhas.cheezburger.com/ at 3:21 pm！"）
• すべての新入社員に、これらのルールを説明する「セキュリティポリシー」クラスを強制し、人々にこれらのルールに関する定期的な復習コースを受講させる。そして、それらにクイズを取って渡します。

私の経験では、管理ファシズムに依存している場所は、一般的に、技術的な手段を介してこれらのルールをバックアップしようとする大まかな試みのみを行っています。たとえば、サムドライブを接続すると発砲するとのことですが、USBを無効にすることはありません。 Facebookはhttpではなく、httpsではブロックされます。そして、HopelessN00bが指摘したように、知識のあるユーザーはこれを知っていて模倣しています。

実際には、内部ネットワークが同時にインターネットに公開されることを想定していない場合は、簡単な解決策があります。

PCは、インターネットへのアクセスを完全にブロックする必要があるだけです。すべてのUSBポートがブロックされているなど.

インターネットに接続するには、別のネットワークに接続されている別のコンピューターを使用するか、RDPを介してインターネットにアクセスできるターミナルサーバーに接続する必要があります。 RDPを介してクリップボードを無効にし、Windows共有を無効にします。これにより、ユーザーはファイルをインターネットターミナルサーバーにコピーできなくなり、ファイルを送信できなくなります。

内部PCで電子メールを許可する場合、これは電子メールを残します...これが最大の抜け穴になります。

あなたとハーフリングが怒っているドラゴンに追いかけられた場合、ドラゴンより速く走る必要はなく、ハーフリングより速いだけでいいという古いジョークを知っていますか？ 悪意のないユーザーを想定して*）、パブリッククラウドへのアクセスを制限する必要はありません。パブリッククラウドのユーザビリティを、デスク以外のエンタープライズソリューションのユーザビリティよりも低くするだけで十分です-bound data access。正しく実装されていれば、悪意のないリークのリスクが大幅に軽減され、わずかなコストで実行できます。

ほとんどの場合、単純なブラックリストで十分です。 Googleドライブ、Dropbox、およびAppleクラウドをその上に置きます。また、Amazon AWSへのトラフィックもブロックします-さらに別のクラウドサービスを構築するこれらのホットスタートアップのほとんどは、独自のデータセンターを構築しません。パブリッククラウドにアクセスする方法を知っている従業員の数を90％から15％に減らしました（非常に大まかな数は業界によって異なります）パブリッククラウドが禁止されている理由を説明する適切なエラーメッセージを使用してください。不愉快な検閲（悲しいことに、いつでも理解したくないユーザーがいるでしょう）。

残りの15％はまだブラックリストにないプロバイダーに到達できますが、おそらくそれを行うことはありません。グーグルのドライブと共同は、強い正のネットワーク効果（技術的な種類ではなく経済的な種類）の影響を受けます。誰もが同じ2〜3個のサービスを使用しているため、どこにでも組み込まれています。ユーザーは、これらのサービスを含む便利で合理化されたワークフローを構築します。代替クラウドプロバイダーをこのようなワークフローに統合できない場合、ユーザーはそれを使用するインセンティブがありません。また、キャンパスの外の物理的な場所からアクセス可能な中央の場所にファイルを保存するなどのクラウドの最も基本的な使用法（セキュリティが必要な場合はVPNを使用）のための企業向けソリューションがあることを願っています。

このソリューションに大量の測定と分析を追加します。 （これは、ユーザーが関係する場合は常に必要です）。特に疑わしいパターン（同じドメインに向けられた、ドキュメントのアップロードに十分な大きさのバーストのアップストリームトラフィック）を示している場合は、トラフィックのサンプルを取得します。識別された疑わしいドメインを人間の目で見て、それがクラウドプロバイダーであることがわかった場合は、ユーザーがそれを使用している理由を見つけ、管理者と話します同等の使いやすさを持つ代替を提供することについて、問題のあるユーザーに代替について教育します。あなたの企業文化が、懲戒処分を最初に実施することなく、キャッチされたユーザーを穏やかに再教育することを可能にするなら素晴らしいです-それから、彼らはあなたから特に強く隠そうとせず、簡単に逸脱をキャッチして状況に対処できるようになりますセキュリティリスクを軽減しながら、ユーザーが効率的に仕事を行えるようにする方法で。

合理的なマネージャー**は、このブラックリストが生産性の損失につながることを理解します。ユーザーはパブリッククラウドを使用する理由がありました-彼らは生産的であるように動機づけられており、便利なワークフローは彼らの生産性（彼らがやろうとする無給の残業の量を含む）を高めました。生産性の損失とセキュリティリスクの間のトレードオフを評価し、現状をそのままにするか、ブラックリストを実装するか、またはシークレットサービスに値する対策を講じる意思があるかを伝えるのはマネージャーの仕事です。非常に不便ですが、100％のセキュリティは提供されません）。

[*]安全を仕事とする人々は、犯罪の意図を最初に考えることを知っています。そして確かに、断固とした犯罪者は阻止するのがはるかに難しく、悪意のないユーザーよりもはるかに悪い損害を与えることができます。しかし、実際には、浸透する組織はほとんどありません。ほとんどのセキュリティ問題は、自分の行動の結果を認識していない善意のユーザーの間抜けに関連しています。そして、その数は非常に多いので、彼らがもたらす脅威は、より危険な、しかしよりまれなスパイと同じくらい真剣に受け止められるべきです。

[**]私は、あなたの上司がすでにその要求をした場合、それらが合理的なタイプではない可能性があることを認識しています。それらが合理的であるが、見当違いである場合、それは素晴らしいことです。彼らが不合理で頑固であるならば、これは残念ですが、あなたは彼らと交渉する方法を見つけなければなりません。そのような部分的な解決策を提供することは、彼らにそれを受け入れてもらうことができない場合でも、優れた戦略的な動きとなり得ます。技術的に実行不可能な要件の代替案。

あなたの経営陣はあなたにパンドラの箱を閉じるように求めています。

原則として、すべての既知の可能なメカニズムのドキュメントのアップロードを防ぐことはできますが、ゼロデイエクスプロイト（または同等のもの）の使用を防ぐことはできません。

つまり、ユーザーとワークステーションの両方を識別する認証ファイアウォールを実装して、必要なACLでアクセスを制限できます。他の回答のいくつかで説明されているように、評判サービスを組み込んで、プロセスの管理に役立てることができます。

本当の質問は、これはセキュリティについて、またはこれは制御についてであるかどうかを尋ねることです。最初の場合は、マネージャーが支払う準備ができているコストのしきい値を理解する必要があります。それが2番目の場合は、小さな例外を除いて、おそらく目に見える大きな劇場で、納品した人たちを納得させるのに十分でしょう。

BlueCoat Secure Web Gatewayなどのコンテンツフィルタリングデバイスまたはサービス、またはPalo Altoファイアウォールなどのコンテンツフィルタリングを備えたファイアウォールが必要です。このような製品には、オンラインストレージを含む幅広いカテゴリのフィルタがあります。

BlueCoatは、ラップトップユーザーが自分のコンピューター上でローカルに実行されるプロキシサービスを介して接続するように強制できるクラウドベースのサービスも提供しますが、中央のソースからコンテンツフィルタリングルールを取得します。

• ブラックリスト

ユーザーがアクセスできないサイトのリストを作成します。

長所：特定のサービスをブロックします。

短所：大きなリストです。システムのファイアウォールのパフォーマンスを損なう場合があります（通常はそうです！）。時にはそれは迂回される可能性があります。

• ホワイトリスト

ブラックリストに登録されたサイトの大きなリストに依存する代わりに、ユーザーがホワイトリストに登録されたサイトにのみアクセスできるホワイトリストを使用している企業もあります。

プロ：管理が簡単。

短所：生産性が低下します。

• 送信する情報のサイズをブロック（POST/GET）

一部のファイアウォールでは、情報の送信サイズをブロックできるため、一部のファイルを送信できません。

プロ：管理が簡単。

短所：一部のユーザーは、ファイルを小さなチャンクで送信することでそれをバイパスできます。たとえば、一部のJavaや、Visual Studioのwinformsサイトが定期的に多くの情報を送信するなど、一部のWebサイトを破壊する可能性があります。

• 非HTTP接続をブロックします。

プロ：設定が簡単。

短所：現在のシステムが壊れる可能性があります。

私の経験では、銀行で働いていました。管理者は、usbドライバーへのアクセスをブロックし、一部の制限付きサイト（ブラックリスト）にアクセスしました。ただし、無料のWebホスティングでphpファイルを作成し、問題なくファイルをアップロードできます（通常のWebサイトを使用）。それをするのに5分かかりました。

いくつかのコメントに同意しますが、人事ルールを使用する方が簡単で効果的です。