Удаленный доступ, "кабинетные" решения

Сергей Рябко,
генеральный директор компании "С-Терра СиЭсПи"

Тот, кто когда-либо работал на режимном предприятии, наверняка знаком с понятием "библиотека 1-го отдела". Фактически у вас было два рабочих места:

1. в общем помещении для работы с открытой информацией;
2. для работы с "грифованными" документами (в этом случае - распишитесь в получении источников в рабочей тетради и пожалуйте в специальное помещение).

Некий аналог такой практики присутствует в корпоративной сети. С той или иной степенью безопасности все компании, работающие с классифицированными информационными ресурсами, организовали у себя контроль доступа к критичным электронным активам. Однако для задач удаленного доступа эта практика пока не распространена.

"1-й отдел" в вашем ноутбуке

Сразу оговорюсь - речь в данном случае не идет о государственной тайне. В этой области действуют четкие установленные и контролируемые государством регламенты, и я не уверен, что государственное регулирование готово к рассмотрению и применению таких решений. Но перед коммерческими организациями, работающими с конфиденциальной информацией, задача построения системы удаленного доступа к конфиденциальным ресурсам стоит весьма остро.

Большинство удаленных сотрудников работают с открытой информацией и с информацией для служебного пользования. Безопасный доступ к ней - задача легко решаемая. Теоретически не проблема и более защищенные решения, однако тут возникают уже нетехнические проблемы. Типичный мобильный сотрудник часто отступает от требований режима безопасности при удаленном доступе. К таким нарушениям относятся:

• отключение или ослабление в целях удобства, а также коммуникационной или программной совместимости ряда механизмов безопасности, применяемых на терминале;
• одновременный доступ в корпоративную сеть и в Интернет;
• доступ в корпоративную сеть с недоверенного устройства или с устройства, необоснованно классифицируемого как доверенное.

Концепция решения

Риски, связанные с перечисленными угрозами, могут быть значительно снижены в случае применения изолированной (возможно, виртуализованной) рабочей среды удаленного/мобильного пользователя.

Предположим, что мы можем разделить среду для работы с критичной и некритичной информацией. Для этого у нас существует две возможности: раздельные и "вложенные" терминалы.

Раздельные терминалы (если это две физически различные машины) трудно предложить удаленному и мобильному пользователям. Они нереалистически дорогие и громоздкие.

Однако если организовать на единой аппаратной платформе попеременную загрузку среды для обработки открытой (условно назовем ее "среда ДСП") и конфиденциальной информации ("среда К"), то можно считать, что мы снабдили пользователя двумя различными терминалами. Решить эту задачу можно двумя способами:

1. Создать на жестком диске терминала два различных независимо загружаемых раздела.
2. Обеспечить загрузку "среды К" со съемного носителя.

Второй вариант более удобен и безопасен, поскольку для компактного съемного носителя легче обеспечить защищенный режим хранения и эксплуатации, чем для терминала в целом.

Второй вариант реализуется путем хранения на жестком диске терминала ("среда ДСП") виртуальной машины, в которой работает "среда К".

Преимущества, получаемые от разделения сред "ДСП" и "К":

• высокая степень изоляции "кабинета" ("среды ДСП");
• снижение рисков для "среды К" при работе в недоверенной "среде ДСП" (например, при работе пользователя на условно доверенном домашнем компьютере);
• снижение (или полное устранение) рисков, связанных с самовольным отключением пользователем тех или иных механизмов безопасности;
• наличие регламента эксплуатации специального рабочего места - "среды К", что дисциплинирует пользователя, и кроме того, пользователь знает о подотчетности операций на данном рабочем месте;
• существенное снижение времени экспозиции для злоумышленника вычислительной системы, предназначенной для обработки конфиденциальных ресурсов.

Применение в конфиденциальном "кабинете" повышенных мер ИБ не вызывает у пользователя отторжения по ряду причин:

• "среда К" используется относительно редко и для решения специальных задач - краткое время можно "потерпеть" неприятные "тормозящие" операции безопасности;
• "среда К" сосуществует с "нормальным" (классифицируемым по более низкому классу конфиденциальности) рабочим местом, "средой ДСП", для которой можно позволить себе Интернет, задачи образовательного или развлекательного характера;
• обеспечивается снижение (или полное устранение) рисков, связанных с одновременным доступом в Интернет и к конфиденциальным ресурсам корпоративной сети.

Технологии

Для создания такого рода "кабинетных" решений сегодня есть несколько интересных технологий.

Одна из них - компактные комбинированные устройства с высоким уровнем защиты и достаточной емкостью накопителей информации.

Другие - технологии виртуализации, в частности, клиентские виртуальные машины и, возможно, средства терминального доступа.

Потребительские свойства "кабинета" с раздельными и "вложенными" средами "ДСП" и "К" различны.

Системы с независимой загрузкой терминалов представляются более безопасными, поскольку обеспечивают относительно высокую изоляцию рабочей среды, однако отличаются тем, что работают несколько медленнее и затрудняют передачу информации (если она необходима в рамках процесса эксплуатации терминала и не запрещена регламентом безопасности) между "средой ДСП" и "средой К". "Вложенные" системы с загрузкой "среды К" из виртуальной машины более удобны и гибки. К их преимуществам относятся:

• быстрота загрузки;
• более высокая совместимость с периферийным оборудованием;
• удобство резервного копирования данных (вместо избирательного копирования отдельных данных можно копировать виртуальную машину целиком. Это особенно важно, когда данные для резервного копирования сложно локализовать - они распределены в файловой системе, архивах, базах данных, реестре Windows, а также тогда, когда пользователь терминала не обладает достаточной компьютерной грамотностью);
• возможность одновременно или попеременно работать в "среде ДСП" и "среде К" и, если разрешено, реализовать тот или иной регламент обмена данными между средами.

О степени изоляции и совместимости решений следует сделать два отдельных замечания.

Раздельно загружаемые среды представляются более безопасными, поскольку рядом с критичной "средой К" не существует дополнительного программного обеспечения (аппаратную "закладку" и компрометированный BIOS как угрозу мы не рассматриваем). Однако это не говорит о том, что такая среда полностью изолирована. Предположим, произведена загрузка с USB-диска. В этом случае для изоляции среды от ресурсов "материнской" аппаратной платформы следует принимать меры, запрещающие (контролирующие) доступ к ее основному жесткому диску и съемным носителям. Аналогичные меры придется принимать и во "вложенной" виртуальной машине, поэтому в этой части преимущества того или другого решения спорны. Реальное преимущество среды с раздельной загрузкой в том, что в ней нет внешней, "материнской" вычислительной среды, из которой, например, программная закладка может читать память "вложенной" виртуальной машины. Также в ней не требуется контролировать в качестве канала утечки буфер обмена, который некоторые виртуальные машины предлагают и для "материнской", и для "вложенной" среды. Отметим, что программные средства контроля обметов со съемными носителями и с буфером обмена представлены на рынке.

Однако платой за относительно более высокую безопасность раздельно загружаемых сред является совместимость. Загружаемая среда должна быть обеспечена драйверами для периферии "материнской" аппаратной платформы. Это не всегда получается, и это сопряжено с громоздким технологическим процессом подготовки и технической поддержки индивидуальных рабочих сред различных пользователей.

Пример реализации

При построении системы защиты для "вложенной" защищенной среды можно рекомендовать следующий комплекс мер защиты информации:

1. Защищенный доступ к операционной системе основной машины ("среда ДСП"). Здесь достаточно стойкого пароля, но может быть применено и устройство с одноразовым паролем.
2. Обязательным является персональный межсетевой экран и антивирус. Если из "среды ДСП" осуществляется доступ в корпоративную сеть, целесообразно применить также VPN-клиент, обеспечивающий строгую аутентификацию доступа на сетевом уровне. Эта мера предназначена для защиты корпоративной сети. Ее задача - изолировать сеть удаленного доступа и исключить доступ посторонних даже к открытой информации. Также здесь должно быть установлено клиентское программное обеспечение той или иной виртуальной машины, которая должна быть размещена на съемном носителе информации.
3. Запуск виртуальной машины, которая и представляет собой "среду К", должен быть защищен при помощи строгой двухфакторной аутентификации, осуществляемой посредством токена.
4. Сетевой доступ в "среду К" должен быть защищен при помощи VPN-клиента. При этом должна применяться изолирующая политика безопасности: "доступ только к целевому ресурсу, минимум ресурсов доступа, открытый трафик полностью запрещен". Пользователь не должен иметь возможности изменить эту настройку. Ключевая информация для организации доступа должна размещаться на токене.
5. Файловая система, в которой на съемном носителе хранятся конфиденциальные данные, должна быть шифрована. Ключи к защищенной файловой системе должны также располагаться на токене.
6. Ввод/вывод по всем периферийным устройствам чтения/записи должен строго контролироваться. Здесь можно рекомендовать следующую политику безопасности: "разрешен ввод/вывод только на учтенные носители информации с протоколированием событий доступа и желательно теневым копированием информационных обменов; использование буфера обмена вне виртуальной машины запрещено". При вводе/выводе данных должна применяться фильтрация опасного кода.
7. Необходимо, чтобы состав доверенных приложений, используемых внутри "кабинета", был строго ограничен - должны применяться средства контроля конфигурации программного обеспечения и средств защиты информации. В идеале пользователь не должен иметь возможности изменить программную конфигурацию и настройки среды функционирования. Права доступа администратора в операционной системе "среды К" должны принадлежать ИБ-специалисту предприятия. Права доступа пользователя должны быть ограничены.