Безопасность мобильной корпоративной сети
Автор: Алексей Андрияшин
Практически любая организация со временем сталкивается с необходимостью обеспечить возможность удаленной работы своим сотрудникам. При этом пользователям должны быть доступны те ресурсы, к которым они имеют доступ непосредственно со своего рабочего места. Непрерывно растет уровень мобильности пользователей: одни предпочитают работать из дома, другие проводят в командировках большую часть рабочего времени, у некоторых работа связана с постоянными разъездами по клиентам. Представителям партнерских организаций тоже требуется предоставлять удаленный доступ к ресурсам либо создавать защищенные каналы связи для передачи данных между офисами.
С ростом мобильности пользователей многократно возрастает риск потери или несанкционированного доступа к данным. Заметно усложняется задача контроля доступа к информационным ресурсам. Необходимо тщательно контролировать, каким образом пользователь пытается получить доступ к данным: через ноутбук, смартфон, КПК или вообще работает с чужого компьютера. При этом желательно избежать того, чтобы заставлять мобильных пользователей запоминать лишний раз пароли и перегружать их средствами аутентификации. Квалификация у сотрудников разная, и может случиться так, что менее опытному пользователю (в информационных технологиях) потребуется предоставлять максимально полный доступ к данным, что является большим риском.
Самый распространенный риск, который подстерегает мобильных пользователей – это потеря или кража данных вместе с носителем, будь то ноутбук или USB-диск. Вот несколько примеров:
Профсоюз рабочих пищевой промышленности и розничной торговли штата Орегон (United Food and Commercial Workers Union 555) объявил о масштабной утечке информации. Причиной утечки стала кража ноутбука, который принадлежал одному из сотрудников профсоюза. Как отмечают эксперты компании Perimetrix, кража произошла в марте, однако об утечке стало известно спустя более двух месяцев.
По сообщению Associated Press, один из профессоров учебного заведения оставил корпоративный ноутбук без присмотра – и вскоре компьютер был украден. В результате инцидента пострадали как минимум 2500 человек, чьи номера социального страхования были скомпрометированы.
Недавно ФБР призналось в том, что его сотрудники постоянно теряют ноутбуки с секретной информацией. Как сообщила новостная служба BBC, кроме ноутбуков сотрудники теряют ещё и оружие. Всего ФБР за срок примерно с 1996 года потеряло больше 200 компьютеров, существует подозрение, что некоторые из них были украдены. Три пропавших ноутбука содержали сверхсекретную информацию, составляющую государственную или юридическую тайну.
Таких примеров можно привести огромное количество. Выход из этой ситуации напрашивается сам собой. Если нельзя предотвратить потерю ноутбука, то нужно сделать так, чтобы данные на потерянном или украденном ноутбуке мог считать только их хозяин. Потеря ноутбука – легко восполняемая утрата, но потеря данных стоит гораздо дороже и может привести как к окончательной потере репутации для коммерческой организации, так и к более серьезным последствиям, если дело касается государственной службы.
Для удаленной работы пользователя с корпоративными данными чаще всего используют средства для построения защищенных каналов связи между рабочей станцией пользователя и SSL VPN-шлюзом, который располагается, например, в сегменте DMZ. Некоторые шлюзы содержат интегрированные модули IPS, что значительно повышает уровень безопасности решения. Как правило, для доступа к данным используется механизм двухфакторной аутентификации. Именно механизм двухфакторной аутентификации лишает пользователя соблазна написать пароль на крышке ноутбука, так как каждый раз ему приходится вводить уникальный пароль, который вдобавок ко всему действителен строго определенное время. При значительном количестве удаленных пользователей разумно использовать SMS-аутентификацию для экономии на приобретении токенов и смарт-карт.
Примером такого решения может служить SSL VPN-шлюз Connectra от компании Check Point. Connectra - шлюз удаленного доступа, сочетающий технологии SSL VPN, IPSec VPN, средства предотвращения вторжений с возможностью централизованного управления. Connectra представляет собой шлюз, с помощью которого удаленные пользователи могут получать доступ к ресурсам корпоративной сети через web. Он обеспечивает доступ на сетевом уровне и через web по протоколу SSL. С помощью интегрированного web-портала Connectra пользователи могут обращаться к web-приложениям и ресурсам, а также получать доступ к разделяемым файлам и электронной почте. Для большего удобства, администраторы могут настраивать дизайн web-портала Connectra, который поддерживает работу на нескольких языках, в том числе на русском. Для клиент-серверных приложений, не использующих web, Connectra предлагает защищенный доступ на сетевом уровне с помощью клиента SSL Network Extender, который представляет собой подключаемый модуль браузера, осуществляющий туннелирование трафика от клиентских приложений по SSL. Для работы SSL Network Extender не требуются права администратора на удаленном ПК.
Основные характеристики Connectra - поддержка шифрования по алгоритму ГОСТ, SSL VPN и IPSec VPN, встроенная система предотвращения вторжений и комплексная защита рабочих станций от шпионского ПО и других вредоносных программ, централизованное управление, защита от новых угроз благодаря автоматическому обновлению сигнатур IPS.
Некоторые мобильные пользователи по ряду причин не могут позволить себе постоянно носить с собой ноутбук. Но удаленный доступ им жизненно необходим. Для таких пользователей компания Check Point предложила специализированное решение, которое называется Abra.
Check Point Abra позволяет создать защищенное виртуальное рабочее место на любом ПК, благодаря чему кардинально изменяется способ организации труда мобильных сотрудников. С помощью Abra можно мгновенно, где угодно и когда угодно превратить любой ПК в полностью защищенное рабочее место. Удобный форм-фактор USB-накопителя позволяет быстро создать виртуальное рабочее место, а используемая технология виртуализации и встроенные средства шифрования позволяют обеспечить безопасность мобильных данных. Abra дает пользователям защиту при работе в режиме оффлайн - с зашифрованного USB-накопителя, а в режиме онлайн - благодаря клиентскому ПО VPN. Для запуска защищенного рабочего места Abra пользователю не нужно перегружать ПК, устанавливать программное обеспечение или обладать правами администратора. Требуется лишь подключить зашифрованный USB-накопитель Abra к ПК и ввести свои учетные данные. Технология виртуализации изолирует рабочий сеанс Abra от ПК, на котором он запущен, благодаря чему после окончания сеанса Abra не оставляет никаких данных на компьютере, в том числе о проведенном сеансе. Данные на USB-накопителе Abra защищены благодаря шифрованию на аппаратном уровне по алгоритму AES 256. Ведется строгий контроль за соблюдением политик безопасности при запуске и использовании приложений и программ. В защищенном виртуальном рабочем месте допускается запуск лишь предварительно одобренных приложений, благодаря чему блокируется установка вредоносного ПО и устраняются другие угрозы безопасности. Abra также может блокировать попытки запуска приложений внутри виртуальной защищенной среды. Решение поддерживает усиленную парольную защиту, а также такие средства многофакторной аутентификации, как сертификаты и токены. Для безопасного ввода паролей можно использовать виртуальную клавиатуру. Как и все продукты Check Point, Abra управляется централизованно.
Кроме защиты индивидуальных рабочих мест пользователей и предоставления средств безопасного удаленного доступа, необходимо тщательно следить за устройствами, которые пользователи могут принести с собой извне. Использование флэшек, USB-дисков, MP3-плееров должно тщательно контролироваться. Крайне эффективным способом является принудительное шифрование всех мобильных носителей данных с ведением реестра разрешенных устройств. При этом найденная на улице флэшка не сможет быть использована в корпоративной среде, так как ее идентификаторы отсутствуют в корпоративной базе.
У пользователей, которые часто работают за пределами компании, возникает соблазн передать информацию, с которой им приходится работать на какой-нибудь свободный файловый ресурс или личный почтовый ящик. Такие попытки надо внимательно отслеживать. Для этого существуют решения класса DLP. При этом надо понимать, что системы DLP эффективно работают именно с непредумышленными попытками несанкционированной передачи информации.
Высокая мобильность пользователей является неотъемлемой характеристикой любой современной компании. Неизбежные риски, которые при этом возникают, минимизируются разнообразными средствами, в избытке представленными на рынке. При тщательном анализе существующих рисков и экономической эффективности выбранного решения можно построить надежную систему защиты, которая будет соответствовать потребностям бизнеса. И такие решения существуют.
Автор - консультант по безопасности компании Check Point Software Technologies
© @Astera