Удаленный доступ по SSL: абсолютная свобода или риски?

Новые возможности

Основное отличие технологии защиты удаленного доступа SSL VPN от ставшей уже традиционной IPSec VPN - это отсутствие клиентского ПО, а значит, полная свобода работы c корпоративными ресурсами с абсолютно любого мобильного устройства, поддерживающего интернет-браузер и Java. Таким образом, пользователи, у которых нет возможности установить на свои устройства ПО IPSec VPN клиента или задействовать отличные от HTTP(S) транспортные протоколы, могут защищенным образом получить доступ к необходимым корпоративным ресурсам в соответствии с политикой безопасности.

Концепция "АААААА"

В отличие от шлюзов IPSec VPN, реализующих традиционные сервисы аутентификации, авторизации и учета, шлюзы SSL VPN обеспечивают защиту удаленного доступа посредством реализации более сложной концепции "шести А":

• Assess - инспекция устройства, с которого осуществляется доступ для гарантии соблюдения корпоративной политики безопасности;
• Authenticate - подтверждение личности пользователя; Authorize - контроль доступа к разрешенному списку ресурсов;
• Access - создание защищенного виртуального соединения от точки доступа до ресурса;
• Audit - отслеживание действий пользователей в рамках авторизованных соединений;
• Abolish - уничтожение следов, оставшихся на устройстве пользователя после завершения сессии (cookie, кэш и т.п.).

Глубина инспекции устройства, с которого планируется осуществлять доступ, включает проверку не только установленных программ, версий ОС и патчей, файлов на диске или записей реестра, но и списка запущенных процессов, установленных соединений и т.д. Проверки могут повторяться через заданное время, чтобы гарантировать, что пользователь, например, не отключил антивирус за ненадобностью в процессе работы и тем самым не подверг корпоративные ресурсы риску.

Проблема надежной аутентификации

Проблему обеспечения надежной аутентификации позволит решить применение одноразовых паролей, сделав невозможным подсматривание или перехват парольной информации.

Например, решение StoneGate SSL VPN предоставляет уникальную возможность организовать двухфакторную аутентификацию пользователей без применения специализированных средств при помощи обыкновенного мобильного телефона посредством технологии Mobile ID, которая заключается в синхронизации входа пользователя в систему путем предоставления своих учетных данных (что-то знает) и передачи запроса (наподобие PIN-кода) с помощью мобильного телефона (что-то имеет). При этом данный функционал предоставляется клиенту на неограниченное число пользователей и совершенно бесплатно вместе с SSL VPN-шлюзом.

Кроме упомянутого Mobile ID, StoneGate SSL VPN поддерживает другие сервисы аутентификации, включающие SecurID, LDAP, Active Directory, User Certificate, General RADIUS, Windows Integrated Login, BankID, технологию однократной аутентификации SSO, возможность использования как встроенных в ОС хранилищ, так и внешних, USB-токенов или смарт-карт и многое др. Для активизации любого из этих методов аутентификации также не требуется докупать каких-либо модулей или актива-ционных лицензий.

Что дальше?

При доступе, если он разрешен, пользователь получает в окне браузера свой личный портал, содержащий ссылки на доступные ему корпоративные ресурсы в зависимости от его роли. После завершения пользовательской сессии SSL VPN шлюз удалит все следы, часть данных, которые пользователи загружали и сохраняли локально во время сессии, может динамически отслеживаться, и по окончании работы может быть выдан запрос о необходимости удаления конфиденциальной информации.

После подробного описания достоинств технологии SSL VPN возникает мысль, почему она до сих пор не вытеснила традиционный IPSec VPN?

Используем обе!

На самом деле, эти технологии больше дополняют друг друга, чем конкурируют. С одной стороны, SSL VPN не требует установки клиентского ПО, что должно быть дешевле, но в реализации большинства вендоров есть принципиальные ограничения на максимальное количество одновременных соединений, кластеризация таких решений сложнее, часто требует внешних балансировщиков, что, естественно, дороже. Традиционные IPSec VPN на стороне узла требуют значительно меньше ресурсов для обработки такого же количества одновременных соединений, кластеризуются проще.

Кроме того, с точки зрения безопасности технология SSL менее надежна. IPSec VPN-шлюз часто вообще не регистрируют в DNS, поэтому взломать его намного сложнее.