假设有一个包含数据的系统,用户可以使用系统中的选项查看或操作它,但不能将数据复制/提取/导出到系统外。此外,任何机器人(如 RPA 或爬虫)也不应该导出。数据严格记录在系统中。
例如:VDI -虚拟桌面基础设施,做一些这样的工作。人们可以连接到远程机器并做一些工作,但不能从中提取数据到他们的本地机器,除非它允许用户这样做。即使是RPA机器人也不允许在远程系统中运行,只能在本地系统中运行,但是构建这样的机器人会很繁琐,为上述问题提供了更接近的解决方案。
我只是在寻找替代的轻量级选项。请让我知道,如果有任何可用的解决方案。
根本没有办法停止所有信息导出。用户可以只在屏幕上拍照并分享信息。如果导出是指导出文件,那么在程序中不允许导出文件或限制选项,如果您需要将数据存储在磁盘上,请将其加密存储。最好的选择是将机器配置为仅使用该软件,因此在启动时它会全屏启动软件,拒绝任何 USB 自动运行键,并有类似 Veyon 的东西被安装在远程控制并在磁盘上有一些配置数据但很漂亮远程服务器上的所有数据。如果您需要本地缓存,则可以对其进行加密。也就是说,理论上如果用户可以物理访问内存,他/她可以检索该数据,但这是极不可能的。
首先,您必须使 ssh 和 ftp 无用!这是为了防止使用 scp 或其他 ftp 软件将系统内部的东西移出,反之亦然,阻止端口 20、21 和 22!
如果可能的话,我会阻止对云存储服务(DNS/防火墙)的访问,这样任何有权访问机器的人都无法将内容上传到常见的云服务,或者如果你有一个可能是潜在目标的已知地址为您的受保护数据。确保在线代码存储库也被阻止!如果数据可以存储为文本,也可以将其作为普通存储库传输到 github/gitlab/bitbucket ......您也可以在 DNS 级别阻止它们。确保用户没有更改网络设置的特权,否则他们可以绕过您的 DNS 阻止!
您应该阻止任何类型的外部存储连接......通过禁止您的 VM 连接到服务器的 USB 端口,甚至蓝牙(如果存在)。
这不是我的想法......如果我记得还有更多要阻止的事情,我会编辑这个答案。