सार्वजनिक क्लाउड पर ब्लॉक कर्मचारी की पहुंच


29

सबसे पहले, मुझे बताएं कि यह मेरा विचार नहीं है और मैं इस पर चर्चा नहीं करना चाहता कि क्या इस तरह की कार्रवाई उचित है।

हालांकि, एक कंपनी के लिए, क्या कर्मचारियों को सार्वजनिक क्लाउड सेवाओं तक पहुंचने से रोकने का एक तरीका है? विशेष रूप से, वे वेब पर किसी भी स्थान पर फ़ाइलों को अपलोड करने में सक्षम नहीं होना चाहिए।

HTTPS को ब्लॉक करना एक पहला, सरल, लेकिन बहुत ही मौलिक समाधान हो सकता है। IP पते की ब्लैकलिस्ट का उपयोग करना या तो पर्याप्त नहीं होगा। संभवतः, सामग्री स्तर पर ट्रैफ़िक को फ़िल्टर करने के लिए किसी प्रकार के सॉफ़्टवेयर की आवश्यकता होती है। एक प्रॉक्सी मददगार हो सकती है, HTTPS ट्रैफ़िक को फ़िल्टर करने में सक्षम होना।

थीस अब तक मेरे विचार हैं। तुम क्या सोचते हो? कोई विचार?


2
हमारे ग्राहकों में से एक (हम उनके लिए अन्य सामान करते हैं) एक प्रॉक्सी के माध्यम से सभी ट्रैफ़िक को सुरंग करते हैं जो bluecoat.com द्वारा पर्यवेक्षित हो जाता है। बहुत सारी साइटें (फ़ाइल संग्रहण, गेमिंग, हैकिंग, मीडिया ...) अवरुद्ध हैं। मुझे वास्तव में इससे नफरत है ...
रेएनो

45
मैं समझता हूं कि आप यह क्यों कहते हैं कि आप इस पर चर्चा नहीं करना चाहते हैं, लेकिन यह एक अच्छा sysadmin के नौकरी विवरण के सबसे बड़े हिस्सों में से एक है: सत्ता के लिए सच बोलना। कभी-कभी, एक विचार प्राइमा फेशियल स्टूपिड है; अन्य समय में, यह एक बुरा विचार नहीं है, लेकिन यह एक सामाजिक / व्यावसायिक विचार है, और तकनीकी समाधान के लिए सबसे उपयुक्त नहीं है। दोनों मामलों में, एक सिसडमिन के लिए एकमात्र सही काम है कि वह चारों ओर घूमे और " " कहे ।
MadHatter

4
@MadHatter फिर भी, इस प्रारंभिक अंतर्ज्ञान के अलावा जो हम साझा करते हैं, मैं कम से कम उपस्थित होने का प्रयास करता हूं जो तकनीकी रूप से संभव होगा। इसके अलावा, मैं सहमत हूं।
मार्सज़

8
क्या यह प्रबंधन और स्वीकार्य उपयोग नीतियों के लिए नहीं है?
user9517

6
संभव: उनके कंप्यूटर कभी भी इंटरनेट से जुड़े नहीं होते हैं, उन्हें कार्यालय, कार्यालय में किसी भी कैमरे (सेलफोन शामिल, जाहिर है) या रिकॉर्डिंग डिवाइस (जैसे पेन) की अनुमति नहीं है, जिसमें कोई खिड़की नहीं है जिसे आप खोल सकते हैं या देख सकते हैं। इसके अलावा, आपके उपयोगकर्ताओं को कार्यालय से बाहर निकलने पर हर बार पूरी तरह से शरीर-खोज और मेमोरी-मिटाने की आवश्यकता होती है, अन्यथा वे बाद में इंटरनेट पर कुछ डाल सकते हैं!
njzk2 19

जवाबों:


71

आपके पास मूल रूप से तीन विकल्प हैं।

1. इंटरनेट से अपने कार्यालय / उपयोगकर्ताओं को डिस्कनेक्ट करें

  • यदि वे "सार्वजनिक क्लाउड" पर नहीं पहुंच सकते, तो वे इसके लिए कुछ भी अपलोड नहीं कर सकते।

2. उन विशिष्ट सेवाओं की ब्लैकलिस्ट संकलित करें, जिन्हें आप एक्सेस करने वाले उपयोगकर्ताओं के बारे में चिंतित हैं।

  • यह पूरी तरह से बड़े पैमाने पर होने जा रहा है अगर इसका मतलब दूर से भी प्रभावी हो।
    • टेक-प्रेमी उपयोगकर्ता हमेशा इसके चारों ओर एक रास्ता खोजने में सक्षम होंगे - मैं इंटरनेट कनेक्शन के साथ दुनिया में कहीं से भी अपने कंप्यूटर से कनेक्ट कर सकता हूं, इसलिए ... सौभाग्य मुझे अवरुद्ध करता है, उदाहरण के लिए।

3. कुछ अधिक उचित / प्रौद्योगिकी की सीमाओं को पहचानें।

  • यह आपका विचार नहीं है, लेकिन आम तौर पर, यदि आप इस तरह के समाधान को लागू करने के नुकसान और खर्च के साथ प्रबंधन प्रदान करते हैं, तो वे बेहतर दृष्टिकोणों के लिए अधिक खुले होंगे।

    • कभी-कभी यह एक अनुपालन बात है, या "सिर्फ दिखावे के लिए" और वे सबसे लोकप्रिय सेवाओं को अवरुद्ध करने के साथ खुश हैं
    • कभी-कभी वे वास्तव में यह नहीं समझते हैं कि उनका अनुरोध कितना पागल है, और आपको उन्हें उन शब्दों में बताने की आवश्यकता है जिन्हें वे समझ सकते हैं।
      • एक बार एक ग्राहक था, जब मैं एक कंप्यूटर सुरक्षा विक्रेता के लिए काम कर रहा था, जो चाहता था कि हम अपने एवी एजेंट के साथ गोपनीय जानकारी लीक करने से कर्मचारियों को रोकने का एक तरीका प्रदान करें। मैंने अपने स्मार्टफ़ोन को व्हीप्ड किया, मेरी स्क्रीन की तस्वीर ली, और उससे पूछा कि वह संभवतः इसे कैसे रोक सकता है, या यहां तक ​​कि कागज के एक टुकड़े पर जानकारी लिख भी सकता है।
      • अपने स्पष्टीकरण में समाचार और हाल की घटनाओं का उपयोग करें - यदि सेना मैनिंग को रोक नहीं सकती है, और एनएसए स्नोडेन को रोक नहीं सकता है, तो आपको क्या लगता है कि हम इसे कर सकते हैं, और आपको कितना पैसा लगता है कि कोशिश करना भी खर्च होगा?

11
अच्छा उत्तर। अनुरोध वास्तव में 2.a के बाहर के साथ निपटा नहीं जा सकता है - एक WHITELIST का उपयोग करके। और फिर इसे प्रबंधित करने के लिए लोगों को काम पर रखना;) क्योंकि आदमी, यह बहुत काम होगा। संभवतः एक ब्लैकलिस्ट से कम है। और अभी भी कुछ भी नहीं प्राप्त (स्मार्टफोन के साथ अच्छा विचार)। अवास्तविक अनुरोध।
टॉमटॉम

1
@TomTom हाँ, मैंने श्वेतसूची के बारे में सोचा था, लेकिन हर जगह मैंने कभी देखा है, इंटरनेट के जिन हिस्सों तक वे पहुँचना चाहते हैं, उनकी श्वेत सूची उन सेवाओं की ब्लैकलिस्ट से बहुत बड़ी है, जिनके बारे में वे तर्कहीन रूप से डरते हैं / कर्मचारी नहीं चाहते हैं तक पहुँचने।
हॉपलेसनब

1
मुझे लगता है कि यह निर्भर करता है। उदाहरण के लिए, मेरी कंपनी पर श्वेतसूची सिर्फ 300 आइटम होगी। व्यापार के लिए आवश्यक। एक ब्लैकलिस्ट सब कुछ संभालना शुरू कर देगा। शीर्ष पर, जिस श्वेतसूची को आप जीतते हैं (alyways valid, start with 0 प्रविष्टियाँ) - वह ब्लैकलिस्ट जिसे आप जानते भी नहीं हैं कि कहाँ से शुरू करें। लेकिन आम तौर पर, वे व्यर्थ प्रयास होते हैं।
टॉमटॉम

3
IMHO, 10 सबसे स्पष्ट साइटों को अवरुद्ध करने से संभवतया 95% हासिल होगा जो प्रबंधन के बाद है। कोई भी उन कुछ नर्ड की परवाह नहीं करता है जो ब्लॉक के आसपास सुरंग करेंगे।
स्टीव बेनेट

3
@SteveBennett हालांकि यह शायद सच है, यह मान लेना सुरक्षित नहीं है कि प्रबंधन 5% और / या ऐसे लोगों की परवाह नहीं करता है जो सिस्टम को दरकिनार कर सकते हैं। यदि तकनीकी संसाधन प्रबंधन को सिस्टम की सीमाओं के बारे में जानकारी नहीं देते हैं, तो यह तकनीकी संसाधन होंगे जिनके सिर तब रोल करते हैं जब कोई कंपनी के सभी आईपी को बिटटोरेंट पर अपलोड करता है (या जो भी घटना इस मुद्दे को प्रबंधन के ध्यान में वापस लाती है)।
होपलेसनब

30

इसे पूरी तरह से अवरुद्ध करने का कोई तरीका नहीं है, ज़ाहिर है, जब तक कि कॉर्पोरेट नेटवर्क को इंटरनेट से डिस्कनेक्ट नहीं किया जाना था।

यदि आप वास्तव में कुछ है कि काम करना चाहिए चाहते हैं के सबसे समय जबकि किया जा रहा है ज्यादातर पारदर्शी, आप गहरे सूंघ पैकेट की आवश्यकता होगी । एक आदमी के मध्य एसएसएल / टीएलएस प्रॉक्सी, साथ ही एक अनएन्क्रिप्टेड संचार के लिए सेट अप करें, और उन सभी ट्रैफ़िक को अवरुद्ध करें जो इनमें से किसी एक के माध्यम से नहीं जाते हैं।

  • HTTP PUT अनुरोध ब्लॉक करें
  • सभी HTTP POST अनुरोधों को ब्लॉक करें जहां सामग्री-प्रकार अनुप्रयोग / x-www-form-urlencoded या मल्टीपार्ट / प्रपत्र-डेटा नहीं है
  • HTTP POST के प्रकारों के लिए मल्टीपार्ट / फॉर्म-डेटा, "फाइल" के कंटेंट-डिस्पेंस के साथ फ़ील्ड्स को अलग करें (लेकिन अन्य फ़ील्ड्स को जाने दें)।
  • एफ़टीपी, बिटटोरेंट और एसएमटीपी ट्रैफ़िक को ब्लॉक करें
  • सभी ट्रैफ़िक को प्रमुख वेबमेल सेवाओं और प्रमुख सार्वजनिक फ़ाइल संग्रहण साइटों पर ब्लॉक करें।

जैसा कि आप देख सकते हैं, यह एक बड़े पैमाने पर और दर्दनाक उपक्रम है। यह अकल्पनीय से बहुत दूर है : मैं कई वर्कअराउंड के बारे में सोच रहा हूं, यहां तक ​​कि मैं यह भी लिखता हूं, जिनमें से कुछ को आपके उपयोगकर्ताओं के वेब कनेक्शन को मौलिक रूप से तोड़ने के बिना संभाला नहीं जा सकता है, और संभवत: ऐसी टिप्पणियां दिखाई देंगी जो मैंने नहीं देखीं सोच। लेकिन फ़ाइल अपलोडिंग को खत्म करने के सबसे आसान तरीकों को फ़िल्टर करते हुए, इसे अधिकांश ट्रैफ़िक के माध्यम से जाने देना चाहिए ।

लब्बोलुआब यह है कि यह मूल्य की तुलना में अधिक परेशानी है।

सबसे अच्छा जवाब अपने मालिकों के साथ एक तरह की बातचीत में प्रवेश करना होगा: पता करें कि वे वास्तव में क्या चाहते हैं (संभवतः व्यापार रहस्य या दायित्व रोकथाम की सुरक्षा), और इंगित करें कि इन अचूक तकनीकी उपायों से उन्हें वह नहीं मिलेगा जो वे चाहते हैं। फिर आप उनकी समस्याओं के समाधान के लिए काम कर सकते हैं, जिसमें अकारण तकनीकी उपाय शामिल नहीं हैं।

इन चर्चाओं में विचारधारा के बारे में चिंता न करें: आपको बस इतना करना है कि क्या काम करेगा और क्या नहीं करेगा । आपको उन सभी तर्कों की आवश्यकता होगी जो आपको वहां चाहिए, और जबकि यह कोई संदेह नहीं होगा कि आप और आपके मालिकों दोनों को निराश करते हैं, यह उनके खिलाफ मूल्य निर्णय लेने से बचता है (जो कि योग्य हो सकता है, लेकिन केवल बातचीत टूटने का कारण होगा, और वह बुरा है )।


4
+1 कुछ उपयोगी कार्यान्वयन सुझाव देने के लिए और इस मुद्दे पर एक व्यापक दृष्टिकोण से एक दृश्य प्रस्तुत करने के लिए भी!
16

26

HopelessN00b ने क्या कहा। मैं बस उसे जोड़ना चाहता था:

मेरा एक सरकारी एजेंसी में नौकरी करने वाला एक दोस्त है जहाँ उसे कार्यालय में कैमरा के साथ सेलफोन लाने की अनुमति नहीं है। वह आमतौर पर वाक्यांश देती है कि, "मुझे कैमरे के साथ सेलफोन की अनुमति नहीं है," क्योंकि, ठीक है। अगर वह अपने सेल को अपने साथ नहीं ले जा सकती है, तो खुद क्यों? उसे ऐसे सेलफोन खोजने में परेशानी होती है जिनमें कैमरे नहीं होते।

मैंने अन्य उच्च-सुरक्षा-प्रकार के स्थानों के लिए काम किया है जो प्रशासनिक फ़ासीवाद के माध्यम से इस समस्या को "हल" करेंगे :

  • एक आधिकारिक नीति जो आपके कार्य केंद्र से आपके व्यक्तिगत ईमेल तक पहुंचती है, एक गोलीबारी अपराध है।
  • एक आधिकारिक नीति जो आपके कार्य केंद्र से क्लाउड सेवा तक पहुंचती है, एक गोलीबारी अपराध है।
  • एक आधिकारिक नीति जो एक कार्य केंद्र में एक अंगूठे ड्राइव, आईपॉड या सेल फोन को प्लग करती है, एक फायरिंग अपराध है।
  • एक आधिकारिक नीति जो आपके कार्य केंद्र से सोशल मीडिया तक पहुंच बनाती है, एक गोलीबारी अपराध है।
  • एक आधिकारिक नीति जो आपके कार्य केंद्र पर अनधिकृत सॉफ़्टवेयर स्थापित करती है, एक गोलीबारी अपराध है।
  • एक आधिकारिक नीति जो आपके कार्य केंद्र से आपके व्यक्तिगत ऑनलाइन बैंकिंग तक पहुंचना अपराध है।
  • एक महाकाव्य कॉर्पोरेट फ़ायरवॉल / प्रॉक्सी जिसमें कई / अधिकांश साइटें अवरुद्ध हैं। उदाहरण के लिए, facebook.com तक पहुंचने का कोई भी प्रयास "ETRM द्वारा अवरुद्ध इस साइट" का एक संकेत देता है। उन्होंने कभी-कभी स्टैक ओवरफ्लो जैसी चीजों को "हैकिंग" के रूप में अच्छी तरह से अवरुद्ध कर दिया।
  • कुछ "अपराध" आपकी पूरी टीम को भेजे गए एक ईमेल को मेरिट में लाते हैं, जिसमें कहा गया है कि आपने अनधिकृत साइट (जैसे फायरिंग के विरोध में) को एक्सेस किया है। ("कैथरीन विलियार्ड ने 3:21 बजे http://icanhas.cheezburger.com/ एक्सेस किया !"
  • इन नियमों की व्याख्या करने वाले "सुरक्षा नीति" वर्ग को लेने के लिए सभी नए काम करने के लिए मजबूर करते हैं, और लोगों को इन नियमों पर नियमित रूप से पुनश्चर्या पाठ्यक्रम लेने के लिए मजबूर करते हैं। और फिर उन पर एक प्रश्नोत्तरी लें और पास करें।

वे स्थान जो प्रशासनिक फासीवाद पर भरोसा करते हैं, आम तौर पर अपने अनुभव में, तकनीकी साधनों के माध्यम से इन नियमों का समर्थन करने के लिए केवल सरसरी प्रयास करते हैं। उदाहरण के लिए, वे कहते हैं कि यदि आप एक अंगूठे ड्राइव में प्लग करते हैं तो वे आपको आग लगा देंगे, लेकिन वे यूएसबी को अक्षम नहीं करते हैं। वे फेसबुक को http के जरिए नहीं बल्कि https के जरिए ब्लॉक करते हैं। और, जैसा कि होपलेसनब बी ने बताया, प्रेमी उपयोगकर्ता इसे जानते हैं और इसका मजाक उड़ाते हैं।


2
वास्तव में तकनीकी समाधान हैं जो आप यूएसबी उपकरणों को निष्क्रिय करने के लिए भरोसा कर सकते हैं (हर एवी एजेंट जो मैंने वर्षों में देखा है वह इसे काफी प्रभावी रूप से कर सकता है), या वेबसाइटों की [कुछ] अच्छी तरह से परिभाषित श्रेणियों तक पहुंच को अवरुद्ध करता है। ओपी के लिए समस्या यह है कि "सार्वजनिक क्लाउड" / "स्थानों पर उपयोगकर्ता डेटा अपलोड कर सकते हैं" एक अच्छी तरह से परिभाषित श्रेणी नहीं है (और कभी भी जल्द ही नहीं होगा), इसलिए वह समाधान के रूप में एक वेबफिल्टर का सुझाव भी नहीं दे सकता है। समस्या ... वह कारण देखने के लिए एक कस्टम ब्लैकलिस्ट या पुष्टिकरण प्रबंधन करने वाला है।
हॉपलेसनब

मैं जानता हूं, और मैं सहमत हूं। मैं निश्चित रूप से उस सूची को कार्रवाई के एक पाठ्यक्रम के रूप में प्रस्तुत नहीं कर पाया। :)
कैथरीन विलिअर्ड

9
तकनीकी रूप से सार्वजनिक बादलों में हर होस्टर शामिल होता है क्योंकि वेबसाइट किराए पर लेना और वहाँ एक फ़ाइल अपलोड करने की चीज़ को रखना मामूली है। आउच। गैर-हल करने योग्य समस्या।
टॉम 15

कई वर्षों से, मेरे पिता के कार्यस्थल पर कर्मचारियों को कार्यालय में कैमरा रखने की अनुमति नहीं थी। आखिरकार, कंपनी ने कंपनी के फोन (उस समय के ब्लैकबेरी, अब आईफोन) की अनुमति देने की नीति में बदलाव किया, लेकिन व्यक्तिगत फोन पर नहीं।
ब्रायन एस

कई स्मार्ट फोन एक मॉड्यूलर कैमरे का उपयोग करते हैं जिन्हें थोड़े प्रयास से हटाया जा सकता है। यह कुछ ऐसा नहीं है जिसे आप बार-बार करना चाहेंगे क्योंकि इसे सुरक्षित करने के लिए अजीब टूलींग की आवश्यकता हो सकती है, लेकिन यह प्रतिबंधित क्षेत्र में एक समकालीन, उपयोगी, हैंडसेट के उपयोग की अनुमति देगा।
पेकका

19

वास्तव में, एक सरल समाधान है बशर्ते आप अपने आंतरिक नेटवर्क से उसी समय इंटरनेट के संपर्क में आने की उम्मीद न करें।

आपके पीसी को बस इंटरनेट तक पहुँचने से पूरी तरह से अवरुद्ध होने की आवश्यकता है। सभी USB पोर्ट ब्लॉक किए गए, आदि।

इंटरनेट पर पाने के लिए, लोगों को या तो एक अलग कंप्यूटर का उपयोग करने की आवश्यकता होती है - एक अलग नेटवर्क से जुड़ा - या RDP के माध्यम से एक टर्मिनल सर्वर से कनेक्ट होता है जिसमें इंटरनेट का उपयोग होता है। आप RDP पर क्लिपबोर्ड को अक्षम करते हैं और कोई विंडोज़ साझा नहीं करते हैं। इस तरह, उपयोगकर्ता इंटरनेट टर्मिनल सर्वर पर फ़ाइलों की प्रतिलिपि नहीं बना सकते हैं और इस प्रकार फ़ाइलों को बाहर नहीं भेज सकते हैं।

यह ईमेल छोड़ देता है ... यदि आप आंतरिक पीसी पर ईमेल की अनुमति देते हैं तो इसमें आपकी सबसे बड़ी खामी है।


3
ध्वनि सूँघो, लेकिन दुख की बात है कि सच्चाई है। इसे हल करने का एकमात्र तरीका बहुत सुंदर है।
टॉम 15

2
हमारी कंपनी के कुछ हिस्सों के लिए हमारे पास यह समाधान (केवल टर्मिनल सर्वर के माध्यम से इंटरनेट और ईमेल) है। हालांकि, सॉफ्टवेयर डेवलपर्स के लिए, बिल्कुल भी इंटरनेट का उपयोग नहीं करना स्पष्ट रूप से बहुत
तकलीफदेह होगा

@ मर्सज़े - मैंने इसे एक श्वेतसूची प्रॉक्सी के साथ हल करते हुए देखा है जहाँ प्रोग्रामर को सीधे अपने बॉक्स पर कुछ चीजें चाहिए होती हैं (जैसे मावेन रेपो) को प्रॉक्सी के माध्यम से अनुमति दी जाती है।
ईटीएल

1
यह एक कलम और एक कागज, या बस स्मृति छोड़ देता है।
njzk2 19

1
@ मेरीज़ मैंने एक अलग नेटवर्क वाली कंपनी में काम किया, जिसने डेवलपर्स को दो मशीनें दीं। विकास कार्य करने के लिए एक गोमांस, आंतरिक-एक्सेस-ओनली नेटवर्क से जुड़ा हुआ है, और दूसरा एक (पतला क्लाइंट, या पुराना क्लिंकर बॉक्स) जो उस नेटवर्क से जुड़ा था जिसमें इंटरनेट एक्सेस था। एक प्रभावी, यदि सरलीकृत और अधिक महंगा समाधान।
होपलेस

5

आप उस पुराने मज़ाक को जानते हैं कि, यदि आप और एक झुंझलाहट गुस्से में अजगर द्वारा पीछा किया जाता है, तो आपको अजगर की तुलना में तेज दौड़ने की ज़रूरत नहीं है, आपको केवल आधे हिस्से की तुलना में तेज़ होना है? गैर-दुर्भावनापूर्ण उपयोगकर्ताओं को मानते हुए *, आपको सार्वजनिक क्लाउड पर उनकी पहुंच को प्रतिबंधित करने की आवश्यकता नहीं है, यह गैर-डेस्क-बाउंड डेटा एक्सेस के लिए आपके पास जो भी एंटरप्रेसी समाधान है, उसकी उपयोगिता से सार्वजनिक क्लाउड की उपयोगिता को कम करने के लिए पर्याप्त है। । उचित रूप से लागू किया गया है, इससे गैर-दुर्भावनापूर्ण लीक के जोखिम में तेजी से कमी आएगी, और लागत के एक अंश के साथ यह संभव है।

ज्यादातर मामलों में, एक साधारण ब्लैकलिस्ट को पर्याप्त होना चाहिए। उस पर Google ड्राइव, ड्रॉपबॉक्स और ऐप्पल क्लाउड डालें। अमेज़ॅन AWS को भी ट्रैफ़िक ब्लॉक करें - इनमें से अधिकांश हॉट स्टार्टअप जो अभी तक एक और क्लाउड सेवा का निर्माण करते हैं, वे अपना स्वयं का डेटा केंद्र नहीं बनाते हैं। आपने ऐसे कर्मचारियों की संख्या कम कर दी है जो जानते हैं कि 90% से 15% (बहुत ही उबड़-खाबड़ संख्या, उद्योग द्वारा अलग-अलग होंगे) सार्वजनिक बादल में कैसे पहुंचें। सार्वजनिक बादलों को निषिद्ध क्यों किया जाता है, यह समझाने के लिए एक उपयुक्त त्रुटि संदेश का उपयोग करें, जो कि प्रचंड सेंसरशिप की उनकी छाप को कम कर देगा (दुख की बात है, हमेशा ऐसे उपयोगकर्ता होंगे जो समझने को तैयार नहीं हैं)।

शेष 15% अभी भी प्रदाताओं को ब्लैकलिस्ट पर नहीं पहुंच सकते हैं, लेकिन वे शायद इसे करने के लिए परेशान नहीं होंगे। Google ड्राइव और सह मजबूत सकारात्मक नेटवर्क प्रभाव (आर्थिक प्रकार, तकनीकी प्रकार नहीं) के अधीन हैं। हर कोई समान 2-3 सेवाओं का उपयोग करता है, इसलिए वे हर जगह निर्मित होते हैं। उपयोगकर्ता सुविधाजनक, सुव्यवस्थित वर्कफ़्लो का निर्माण करते हैं जिसमें ये सेवाएं शामिल हैं। यदि वैकल्पिक क्लाउड प्रदाता को ऐसे वर्कफ़्लो में एकीकृत नहीं किया जा सकता है, तो उपयोगकर्ताओं के पास इसका उपयोग करने के लिए कोई प्रोत्साहन नहीं है। और मुझे उम्मीद है कि आपके पास क्लाउड के सबसे बुनियादी उपयोग के लिए एक कॉर्पोरेट समाधान है जैसे कि एक केंद्रीय स्थान पर फ़ाइलों को संग्रहीत करना, परिसर के बाहर एक भौतिक स्थान से पहुंचना (वीपीएन के साथ अगर सुरक्षा की आवश्यकता है)।

इस समाधान में माप और विश्लेषण का एक अच्छा सौदा जोड़ें। (यह हमेशा आवश्यक है जहां उपयोगकर्ता चिंतित हैं)। ट्रैफ़िक के नमूने लें, खासकर यदि संदिग्ध पैटर्न प्रदर्शित करते हैं (एक ही डोमेन में निर्देशित दस्तावेज़ों को अपलोड करने के लिए बड़े पैमाने पर अपस्ट्रीम ट्रैफ़िक पर्याप्त है)। पहचाने गए संदिग्ध डोमेन पर एक मानवीय नज़र डालें, और यदि आप पाते हैं कि यह क्लाउड प्रदाता है, तो पता करें कि क्योंउपयोगकर्ता इसका उपयोग कर रहे हैं, समान उपयोगिता के साथ एक विकल्प प्रदान करने के बारे में प्रबंधन के साथ बात करते हैं, विकल्प के बारे में आक्रामक उपयोगकर्ता को शिक्षित करते हैं। यह बहुत अच्छा होगा यदि आपकी कॉर्पोरेट संस्कृति आपको पहली बार अनुशासनात्मक उपायों को लागू किए बिना उपयोगकर्ताओं को धीरे से फिर से शिक्षित करने की अनुमति देती है - फिर वे आपसे विशेष रूप से कठिन छिपाने की कोशिश नहीं करेंगे, और आप आसानी से विचलन को पकड़ने और स्थिति से निपटने में सक्षम होंगे एक तरह से जो सुरक्षा जोखिम को कम करता है लेकिन फिर भी उपयोगकर्ता को अपना काम कुशलता से करने की अनुमति देता है।

एक उचित प्रबंधक ** समझ जाएगा कि इस ब्लैकलिस्ट से उत्पादकता हानि होगी। उपयोगकर्ताओं के पास सार्वजनिक क्लाउड का उपयोग करने का एक कारण था - उन्हें उत्पादक होने के लिए प्रोत्साहित किया जाता है, और सुविधाजनक वर्कफ़्लो ने उनकी उत्पादकता बढ़ा दी (अवैतनिक ओवरटाइम की राशि सहित वे जो करने को तैयार हैं)। उत्पादकता हानि और सुरक्षा जोखिमों के बीच व्यापार बंद का मूल्यांकन करना और यह बताने के लिए कि क्या वे स्थिति को वैसा ही करने को तैयार हैं, काली सूची को लागू करने या गुप्त-सेवा-योग्य उपायों के लिए जाने के लिए प्रबंधक का काम है (जो हैं) गंभीर रूप से असुविधाजनक और अभी भी 100% सुरक्षा प्रदान नहीं करता है)।


[*] मुझे पता है कि जिन लोगों की नौकरी सुरक्षा है वह पहले आपराधिक इरादे के बारे में सोचते हैं। और वास्तव में, एक निर्धारित अपराधी को रोकना बहुत कठिन है और गैर-दुर्भावनापूर्ण उपयोगकर्ता की तुलना में बहुत अधिक नुकसान पहुंचा सकता है। लेकिन वास्तव में, कुछ संगठन हैं जो घुसपैठ करते हैं। अधिकांश सुरक्षा समस्याएं अच्छी तरह से अर्थ उपयोगकर्ताओं के नासमझी से संबंधित हैं जो अपने कार्यों के परिणामों का एहसास नहीं करते हैं। और क्योंकि उनमें से बहुत सारे हैं, उन्हें जितना खतरा है, उतनी ही गंभीरता से लिया जाना चाहिए, लेकिन बहुत दुर्लभ, जासूसी।

[**] मैं इस बात से अवगत हूं कि, यदि आपके मालिकों ने पहले से ही वह मांग की है, तो संभावना है कि वे उचित प्रकार नहीं हैं। यदि वे उचित हैं लेकिन सिर्फ गुमराह हैं, तो यह बहुत अच्छा है। यदि वे अनुचित और जिद्दी हैं, तो यह दुर्भाग्यपूर्ण है, लेकिन आपको उनसे बातचीत करने का एक तरीका खोजना होगा। इस तरह के आंशिक समाधान की पेशकश करना, भले ही आप उन्हें इसे स्वीकार करने के लिए प्राप्त न कर सकें, एक अच्छी रणनीतिक चाल हो सकती है - ठीक से प्रस्तुत, यह उन्हें दिखाता है कि आप "उनकी तरफ" हैं, उनकी चिंताओं को गंभीरता से लें, और खोज करने के लिए तैयार हैं तकनीकी रूप से संक्रामक आवश्यकताओं के विकल्प के लिए।


4

आपका प्रबंधन आपको पेंडोरा के बॉक्स को बंद करने के लिए कह रहा है।

जब आप सिद्धांत रूप में, सभी ज्ञात संभव तंत्रों के लिए किसी भी प्रलेखन को अपलोड करने से रोक सकते हैं, तो आप शून्य-दिन के कारनामों (या आपके समतुल्य) को इस्तेमाल होने से नहीं रोक पाएंगे।

उस ने कहा, उपयोगकर्ता और कार्य केंद्र दोनों की पहचान करने के लिए एक प्रामाणिक फ़ायरवॉल, एसीएल के साथ पहुंच को प्रतिबंधित करने के लिए लागू किया जा सकता है जिसे आप चाहते हैं। प्रक्रिया को प्रबंधित करने में सहायता के लिए आप कुछ अन्य उत्तरों में वर्णित प्रतिष्ठा सेवा को शामिल कर सकते हैं।

असली सवाल यह है कि क्या यह सुरक्षा के बारे में है , या यह नियंत्रण के बारे में है ? यदि यह पहला है, तो आपको यह समझने की आवश्यकता है कि आपके प्रबंधकों को भुगतान करने के लिए लागत सीमा निर्धारित है। यदि यह दूसरा है, तो संभवतया एक बड़ा दृश्यमान रंगमंच आपको उन्हें समझाने के लिए पर्याप्त होगा, जिसमें मामूली अपवाद हैं।


3

आपको सामग्री फ़िल्टरिंग डिवाइस या सेवा की आवश्यकता होती है, जैसे कि ब्लूकॉट सिक्योर वेब गेटवे, या सामग्री फ़िल्टरिंग के साथ फ़ायरवॉल, जैसे कि पालो ऑल्टो फ़ायरवॉल। इस तरह के उत्पादों में व्यापक श्रेणी के फिल्टर होते हैं जिनमें ऑनलाइन स्टोरेज शामिल होता है।

BlueCoat यहां तक ​​कि क्लाउड-आधारित सेवा भी प्रदान करता है जहां आप अपने लैपटॉप उपयोगकर्ताओं को अपने कंप्यूटर पर स्थानीय रूप से चलने वाली प्रॉक्सी सेवा के माध्यम से कनेक्ट करने के लिए बाध्य कर सकते हैं, लेकिन एक केंद्रीय स्रोत से सामग्री फ़िल्टरिंग नियम लेते हैं।


2
  • काला सूची में डालना

उन साइटों की सूची बनाएं, जिन्हें उपयोगकर्ता एक्सेस नहीं कर सकते।

प्रो: ब्लॉक विशिष्ट सेवा।

विपक्ष: एक बड़ी सूची, कभी-कभी यह सिस्टम के फ़ायरवॉल के प्रदर्शन को नुकसान पहुंचा सकता है (आमतौर पर यह करता है!)। कभी-कभी इसे बायपास किया जा सकता था।

  • WhiteList

ब्लैकलिस्ट की गई साइटों की एक बड़ी सूची में निर्भर होने के बजाय, कुछ कंपनियां एक श्वेतसूची का उपयोग करती हैं जहां उपयोगकर्ता केवल श्वेत सूची में पहुंच सकते हैं।

प्रो: प्रबंधन में आसान

विपक्ष: यह उत्पादकता को नुकसान पहुंचाता है।

  • सूचना भेजने के आकार (POST / GET) को ब्लॉक करें।

कुछ फ़ायरवॉल सूचना भेजने के आकार को अवरुद्ध करने की अनुमति देता है, कुछ फ़ाइलों को भेजने के लिए असंभव प्रदान करता है।

प्रो: प्रबंधन में आसान।

विपक्ष: कुछ उपयोगकर्ता इसे छोटे हिस्से में फाइलें भेजकर बाईपास कर सकते हैं। यह कुछ वेबसाइटों को तोड़ सकता है, उदाहरण के लिए, कुछ जावा और विजुअल स्टूडियो की विनफॉर्म साइटें नियमित रूप से बहुत सारी जानकारी भेजती हैं।

  • गैर HTTP कनेक्शन ब्लॉक करें।

प्रो: कॉन्फ़िगर करने में आसान।

विपक्ष: यह वर्तमान प्रणालियों को तोड़ सकता है।

अपने अनुभव में, मैंने एक बैंक के लिए काम किया। व्यवस्थापकों ने यूएसबी ड्राइवर तक कुछ प्रतिबंधित साइटों (ब्लैकलिस्ट) तक पहुंच को अवरुद्ध कर दिया। हालांकि, मैंने एक मुफ्त वेबहोस्टिंग में एक php फ़ाइल बनाई और मैं अपनी फ़ाइलों को बिना किसी समस्या के (नियमित वेबसाइट का उपयोग करके) अपलोड कर सकता हूं। मुझे ऐसा करने में 5 मिनट लगे।

मैं कुछ टिप्पणियों से सहमत हूं, मानव संसाधन नियमों का उपयोग करने के लिए आसान और अधिक प्रभावी है।


एक हालिया विचार एक संयुक्त दृष्टिकोण था: HTTP के लिए एक ब्लैकलिस्ट, HTTPS के लिए एक श्वेतसूची। अन्य समाधानों के रूप में: यह हमेशा परीक्षण करना आवश्यक होगा कि मौजूदा प्रणालियों को तोड़ने के बिना क्या लागू किया जा सकता है, क्योंकि यह मामले से मामले में भिन्न होता है।
मंगल
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.