0x1本周话题
话题:跟各位大佬取取经,如何管控连接企业guest- Wi-Fi的情况下,限制使用网页微信传数据的呢?
Q:这个目的是什么呢?能管控的住网页微信传输,你管不住手机拍照微信传呀,不能说管不住,而是没有一个好方法管住。
A1:我猜是提供了guest,又不想让员工用公司电脑连。
A2:主要是因为没有DLP,只能从行为准则上约束员工,没法有技术管控和监控措施,所以有点头疼。如果传了什么信息出去也无从查起的。
A3:纯看技术的话,上网行为管理在出口处识别限制。全禁了就行。
A4:封域名简单粗暴。
Q:guest 不过上网行为管理吧?
A5:guest不过的,你懂的呀,唯一有的就是镜像流量给公安了。
A6:这个看具体网络怎么接的吧,如果实在不过,出口防火墙/IPS上封域名也可以考虑。guest网络也是组织提供的网络接入服务,网络运营者有必要依照网安法采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;所以还是建议接入上网行为管理。
A7:只是传数据你管控不了,你做不了mitm攻击怎么管控,你要说禁止登陆可以,上个上网行为管理。
Q:这么做的原因是啥?你的需求是什么?或者你的场景是什么?
A8:随便揣测一下,使用网页微信的场景下,估计是想让人能聊天,但不允许传文件。就怕收个木马啥的。
Q:guest不是给非公司用户的么,为什么还要管人家传数据?
A9:可能guest- Wi-Fi 大量内部人也在用。
A10:如果在意,上安全能力就行了,这都有比较成熟的处理方案的,还是个决心问题。
A11:是这个道理,guest任何内外部都能连接使用,所以除了DLP以外想不到其他好方法,然后DLP这个又是很tricky的点。
A12:点很多,比如在guest禁止wx.qq.com,在上网行为禁 但这不是核心矛盾,你的矛盾是数据在电脑上,那么除了网页微信,还可以是任何论坛,网盘,自建站点,终点是在终端下手。这个风险是固有风险,我们在任何一家公司,对这个问题都明明白白地告诉领导,能解决,但要看面对用户的怨言决心有多大,给方案直接给三个层级,第一级做做监控水印,不打扰,事后追溯,第二级上一些DLP,加很多管理审批动作,第三级直接三网分离,能上网的终端没数据,投入多少,用户需求调研情况,当前推荐方案几,说出来。千万不要让领导觉得禁两个网站就能防泄露了,泄露后锤安全,谁使用谁负责,嘴和手在别人身上,直接管理要先抓,我不走guest,回家不也能外发数据么,对吧,guest里防泄露是伪命题。
A13:我们已经在批量测试,笔记本离开公司网络后只能进行白名单访问,进入内网时候就靠防火墙拦截了,这样也防止了一些其他问题比如私用啥的。
A14:这个是靠谱的,只要能管理好业务需求。首先是数据链路。问题是链路中的一个风险点,要提炼出来。 比如笔记本上网是一个数据链路,guest并不是,guest是入网的一种。
A15:做数据防泄漏,不能说想到一个问题就打一个补丁,很被动的。
A16:所以还是传统的筑高墙比较好用,数据围起来,终端只用于云桌面登录。
A17:那也不是。我们vdi就也深坑,并不是所有公司都适合vdi。像我们这种多数业务都是乙方的话vdi上了之后就一直在缝缝补补。
A18:不用这个,安全确实很难做,疲于救火。其实有点羡慕,没VDI的话,乙方来做,更难控。
A19:Vdi、voi、终端dlp、网络dlp,甚至说零信任,不是说哪一个都适合自己,了解现在真的需求是什么再考虑上哪种手段。说最重要的,预算能不能覆盖所有员工。不能覆盖所有员工的话,进vdi和不进vdi是否会有交互以及未来是否可能有交互。
A20:可以装客户端,终端在公司环境下可以上互联网,在不是公司情况下客户端起送后所有流量走公司出口,不管在哪访问互联网要走公司出口,出口统一部署安全设备。
