Безопасный доступ к корпоративным облачным приложениям

Сергей Халяпин
Менеджер системных инженеров
в представительстве Citrix Systems
в России и странах СНГ

Объектом настоящей статьи будут корпоративные приложения и корпоративные облачные ресурсы. Корпоративное облако – это традиционный центр обработки данных, построенный с использованием облачных технологий, который также называют частным облаком. Более подробно рассматривать, как именно организована облачная инфраструктура в данном ЦОД, не будем, поскольку тема защиты приложений в рамках периметра ЦОД выходит за рамки настоящей статьи. Остановимся на вопросе о том, какие приложения используются в компании.

В настоящее время выбор весьма разнообразный. Это могут быть традиционные программные продукты Windows, Web-приложения, а также активно появляющиеся на рынке приложения для тех или иных мобильных платформ. Помимо разнообразия приложений, существуют различные технологии удаленного доступа. В результате есть несколько вариантов решения поставленной задачи – безопасного удаленного доступа к корпоративным облачным приложениям.

VPN можно организовать с помощью:

• VPN IPSec – один из вариантов построения защищенного канала через незащищенные сети, чаще всего не принадлежащие владельцу приложения. На сегодняшний день VPN IPSec считается менее популярным, чем SSL VPN, так как требует для своей работы использования специализированных шлюзов (например, при построении туннеля между двумя площадками) или установки специализированной программы на клиентское устройство. Последнее, в свою очередь, ведет к ограничению использования таких инициатив, как BYOD, из-за возможного отсутствия IPSec-клиента под конкретную мобильную платформу. Также к минусу решения следует отнести сложности обновления и настройки агентов на множестве различных мобильных устройств. Еще необходимо заметить, что после построения туннеля все установленные на устройстве программы смогут получить доступ к внутрикорпоративным ресурсам.
• SSL VPN. Данная технология разрабатывалась как более простая альтернатива VPN IPSec. Для работы на клиентском устройстве достаточно браузера, который, используя стандартный порт 443, позволяет подключиться из любого места, включая даже интернет-киоски. SSL VPN не требует настройки на стороне клиентского устройства. Более того, существует возможность проверки состояния этого устройства с целью определения возможности предоставления доступа к защищаемым ресурсам. При подключении сначала запускается Java-апплет или ActiveX-компонент, который проверяет клиентское устройство в соответствии с правилами, прописанными администратором системы, и при необходимости может отправить устройство в карантин или ограничить предоставляемый доступ даже при вводе пользователем правильного логина и пароля.

Механизмы безопасности внутри отдельных приложений

В данном случае за обеспечение безопасного удаленного доступа отвечает клиентская часть приложения. На нее возлагаются задачи по защите канала передачи данных. Плюсом такого подхода является отсутствие необходимости в дополнительных программно-аппаратных решениях. При самостоятельном построении приложением VPN-туннеля оно подключается к конкретным ресурсам в ЦОД, а остальной уходящий с устройства трафик проходит стандартными путями и не достигает защищенных ресурсов. Такой вариант доступа также очень удобен, если основная масса необходимых приложений – Web-приложения, к которым мы подключаемся с помощью браузера, присутствующего на каждом устройстве. Минусами в данной ситуации являются ограничения платформы, для которой разрабатывается приложение (если речь идет о клиент-серверных приложениях) и потенциальная необходимость открытия дополнительных портов на межсетевых экранах. 

Требование настройки для каждого приложения на каждом устройстве также негативно скажется при внедрении на больших объемах. При работе пользователя с несколькими приложениями операции по настройке придется повторить для каждого из них. Часть проблем может быть устранена при использовании в компании решений по Mobile Application Manager (MAM), если необходим доступ с различных мобильных устройств и интеграция с такими решениями, как MS System Center, для работы с традиционными ПК и ноутбуками. Данные решения позволяют централизованно управлять обновлением и настройкой соответствующих приложений.

Использование порталов доступа

Фактически это один из вариантов решения, использующий механизмы защиты на уровне конкретного приложения. Здесь таким приложением является агент, с помощью которого осуществляется подключение к порталу, где размещены требуемые пользователю ресурсы. Например, при интеграции с решениями по управлению мобильными приложениями данный подход позволяет собрать все необходимые конечному пользователю ресурсы, включающие мобильные, Windows-, Web- и SaaS-приложения, а также данные, с которыми работает пользователь. Существуют программы-агенты для подключения под различные платформы, в последнее время также появились клиенты, написанные для HTML5. В подобных случаях не требуется дополнительная установка на клиентское устройство программного обеспечения для удаленного доступа, достаточно иметь браузер, поддерживающий эту технологию. В случае работы с Windows-, Web- и SaaS-приложениями пользовательское устройство будет выполнять роль "телевизора", на который передается только "картинка". Однако при обращении к мобильному приложению оно будет доставлено на клиентское устройство в виде защищенного контейнера и ему потребуется использование физических ресурсов этого оборудования. И у данного подхода также есть свои минусы, заключающиеся в необходимости закупки дополнительного оборудования и соответствующих лицензий, выделении квалифицированных специалистов для настройки и сопровождения таких решений.

В данной статье рассмотрено несколько вариантов организации удаленного безопасного доступа к корпоративным ресурсам. Какой из них выбрать, зависит от нескольких факторов, например от размера компании, имеющегося бюджета, типов корпоративных приложений, необходимости интеграции с другими IT-инициативами. К таким инициативам могут быть отнесены: мобильность, BYOD, централизация IT-ресурсов и т.д. Для выбора наиболее оптимального варианта рекомендую обратиться к специалистам компаний-интеграторов, которые смогут оценить все имеющиеся данные и подобрать решение в соответствии с задачами каждого конкретного заказчика.