Средства безопасного доступа к корпоративным облачным приложениям

Доверенная среда в облаке реализуется, например, так.

1. Доверенная среда на компьютерах пользователей может создаваться применением СЗИ НСД "Аккорд", СОДС "МАРШ!" или доверенным микрокомпьютером.
2. Защищенный доступ пользователей к ВМ можно обеспечить применением VPN в доверенной среде для Web-доступа или системой доверенной терминальной загрузки "Центр-Т", основанной на применении СКЗИ "ШИПКА".
3. Контролируемый старт (доверенная загрузка) системы виртуализации обеспечивается для VM Ware системой "Аккорд-В.", для MS HyperV – системой "ГиперАккорд".
4. Защита ВМ осуществляется СЗИ НСД "Аккорд-VE" из состава названных выше "Аккорд-В." или "ГиперАккорд".
5. Защита планировщика облака еще находится в разработке.

Создать доверенную среду хотя и непросто, но можно. Но достаточно ли этого? Вся логика развития технической защиты информации говорит, что нет, недостаточно. Действительно, даже для отдельного компьютера почти никогда не достаточно только применить электронный замок (например, "Аккорд-АМДЗ"), необходимо еще создавать и поддерживать изолированность программной среды, то есть применять средства разграничения доступа (например, "Аккорд Win64"). Причем необходимо эти средства настраивать правильным образом – с учетом всех программных средств, применяемых в составе IT.

Все, кто профессионально занимается защитой, хорошо понимают, что при изменении состава программных средств изолированность среды нужно проверять, часто – перенастраивать. В облаке несколько сложнее. Мы, клиенты, никогда не узнаем, что инженер службы защиты информации что-то перестроил или что-то добавил в среду. А эти действия могут все изменить.

Более того, и действия клиента могут все изменить. И если специалисту по безопасности еще можно условно доверять, то в подготовке клиента уверенности у нас еще меньше.

Если действия клиента по настройке своего компьютера несут в себе потенциальную угрозу, которая становится вполне реальной с учетом того, что в облаке клиентов много, то вывод напрашивается сам собой – средства клиента должны быть ненастраиваемые.

Ненастраиваемый защищенный микрокомпьютер для безопасного доступа к защищенным облачным сервисам создан в группе российских компаний. Его рабочее название – МК-ТРАСТ (торговая марка разрабатывается).

МК-ТРАСТ – это компактный микрокомпьютер на базе 4-ядерного процессора Cortex-А9 с HDMI-выходом, выполненный в виде dongle mini PC, с проверенной защищенной ОС Android, специальной подсистемой управления доступом к памяти. Это позволяет использовать его практически с любым монитором или телевизором, а также с устройствами с DVI-разъемом при наличии переходника.

Основная задача МК-ТРАСТ – создание доверенной вычислительной среды. Для этого память устройства, в которой расположена ОС, находится в аппаратно защищенном режиме – Read Only (только для чтения), что исключает возможность несанкционированных модификаций критичного ПО.

Для того чтобы начать доверенный сеанс связи с защищенным сервисом, пользователю достаточно подключить МК-ТРАСТ к монитору или телевизору с HDMI/DVI-портом и включить устройство, тем самым создав доверенную среду. В этой среде стартует браузер и все сопутствующее ПО, необходимое для работы, устанавливается защищенное соединение с сервером (VPN-шлюзом) удаленной защищенной ИС. В рамках доверенного сеанса связи обеспечивается защищенный обмен информацией между сервисом и клиентом с соблюдением всех требований № 63-ФЗ "Об электронной подписи".

Во время доверенного сеанса связи с сервисом пользователю гарантированно недоступны другие информационные ресурсы, которые могут быть потенциально опасными.

Рассмотрим особенности доверенного сеанса связи в случае, если сервис – это ДБО.

Концепция применения технологии защищенного мобильного устройства доступа к ДБО базируется в первую очередь на том факте, что клиент банка не обязан и не может быть специалистом по ИБ. Зачастую они даже не имеют представления о том, как уязвимы их банковские счета. При этом банк, предоставляющий услуги ДБО, просто не может проследить за состоянием защиты клиентского рабочего места, однако в соответствии с законодательством обязан компенсировать потери клиента.

В нашем случае клиент банка получает ненастраиваемое устройство, которое обеспечивает загрузку неизменяемой проверенной ОС, устанавливает защищенное с использованием криптографических алгоритмов соединение с защищенным ЦОД, в котором установлено ПО (клиент ДБО) для доступа к АБС банка. Риски клиентов и банка сведены к минимуму.