Безопасный доступ к информационным ресурсам компании

Поэтому в данной статье я предлагаю обсудить ряд моментов, связанных с организацией безопасного удаленного доступа к ресурсам организации. Тема эта достаточно актуальна в последние годы. Бизнес становится все более мобильным, офис компании не является таким уж обязательным атрибутом, широкое распространение мобильных устройств только "усугубляет" ситуацию.

Можно ли обойтись без удаленного доступа?

Можно, но это неудобно, нетехнологично, невыгодно. Страдает оперативность решения задач, производительность работников, эффективность процессов, а в итоге - организация зарабатывает меньше денег. Естественно, не для всех отраслей это одинаково актуально, но таких сфер, где это вообще не актуально, становится все меньше и меньше.

Приведу небольшой пример работы в организациях без удаленного доступа к информационным ресурсам. Многим из вас приходилось сталкиваться с ситуацией "сотрудник что-то не успел, взял работу на дом". А что работник с собой взял? Явно не токарный станок с металлическими болванками. Он взял с собой информацию. Причем, т.к. он не всегда точно знает, что ему может понадобиться (например, для подготовки какого-то отчета), он старается взять все, что может пригодиться. К чему может привести такая работа на дому, специалисту по информационной безопасности объяснять не надо.

Следует отметить, что в большинстве организаций доступ к серверам даже внутри корпоративной сети тоже является удаленным, т.к. серверы размещаются в территориально удаленных от основного места размещения работников организации ЦОДах. Другое дело, что доступ к ним осуществляется по выделенным каналам, доступ осуществляется с компьютеров, размещенных внутри защищаемого периметра и соответствующих единым политикам безопасности.

Все становится значительно сложнее, когда необходимо обеспечить защиту удаленного доступа к ресурсам организации через сеть Интернет, да еще, в ряде случаев, с личных мобильных устройств.

Кому же нужен удаленный доступ к информационным ресурсам организации?

Многим:

• руководителям различного уровня при их нахождении вне офиса – требуется доступ к электронной почте, к системе внутриофисного электронного документооборота, к бизнес-приложениям для принятия управленческих решений;
• различного уровня администраторам информационных систем – требуется доступ к администрируемым системам для обеспечения удаленного мониторинга и оперативного восстановления их работоспособности;
• представителям контрагентов, с которыми сотрудничает компания, – требуется доступ к внедряемым данными контрагентами системам для проведения необходимых настроек, к тестовым системам для проверки обновлений, воспроизведения и устранения выявленных на боевых системах ошибок; в случае передачи каких-то функций на аутсорсинг удаленный доступ может понадобиться для работников этих компаний;
• мобильным работникам для выполнения своих должностных обязанностей;
• обычным работникам компании (например, если они решили "взять работу на дом").

Выгоды удаленного доступа сотрудников к информационным ресурсам организации достаточно очевидны, но есть и существенные риски.

Чего же мы боимся при организации удаленного доступа?

1. Утечка конфиденциальных данных, которая может произойти по многим причинам:

• утрата (потеря, кража) мобильного устройства или средства вычислительной техники, с которого осуществляется доступ;
• заражение устройств вредоносным ПО;
• передача этой техники в ремонт;
• доступ к этой технике родных и знакомых.

2. Заражение корпоративной системы вредоносным ПО. Может произойти в случае заражения вредоносным ПО устройства, с которого осуществляется удаленный доступ к корпоративным информационным ресурсам, с дальнейшим заражением информационных средств и систем внутри организации.

3. Несанкционированный доступ в корпоративную вычислительную сеть. Может осуществиться в случае утечки (перехвата) аутентификационных данных либо получения несанкционированного доступа к устройству, с которого осуществляется удаленный доступ. Угроза реализуется прежде всего при заражении устройства, с которого осуществляется удаленный доступ, вредоносным ПО.

Рассмотрим небольшой пример

Практически стандартом де-факто стал удаленный доступ к своему корпоративному почтовому ящику. Немного найдется организаций, в которых никто из работников не имеет удаленного доступа к своей корпоративной электронной почте. Но даже такой, казалось бы, обычный информационный обмен не так просто защитить. Основная проблема в том, что в классической реализации почтовый клиент закачивает почтовые сообщения на устройство пользователя. Поэтому, если у вас есть возможность ограничить доступ к электронной почте только Web-протоколом без возможности сохранения вложений на конечном устройстве, это решит многие проблемы. Если же нет, придется организовывать шифрование почтовых сообщений и защищенное хранение ключа для расшифровки на конечном устройстве пользователя. Если это технически нереализуемо, в качестве компенсационной меры можно посоветовать ограничить период синхронизации электронной почты несколькими днями. Т.е. на устройстве пользователя будет находиться электронная почта только за последние 3–5 дней, что, согласитесь, значительно лучше, чем вся переписка за последние, как минимум, полгода. Еще один аспект, который необходимо решить, – это контроль за тем, что же пользователь делает с этой электронной почтой. В случае использования корпоративных устройств для удаленного доступа можно установить на эти устройства агента DLP-системы. В случае использования личных устройств это будет сложно реализовать как технически – с учетом "зоопарка" имеющихся у пользователей устройств, – так и по этическим соображениям – с точки зрения невмешательства в личную жизнь человека.

В значительной степени безопасность удаленного доступа зависит от разрешенных протоколов взаимодействия. На практике наиболее часто используются следующие методы организации безопасного доступа:

• организация VPN в корпоративную сеть;
• организация удаленного доступа с использованием терминального соединения;
• Web-публикация приложения и предоставление доступа по протоколу HTTPS.

Организация VPN в корпоративную сеть – это один из наиболее старых и широко используемых способов организации доступа в корпоративную сеть с корпоративных устройств. Технология позволяет включить удаленное устройство в корпоративную вычислительную сеть аналогично компьютеру, установленному в офисе организации. Вот только делать этого не следует ввиду высокого риска реализации всех трех из описанных выше угроз. Целесообразно "приземлить" VPN в демилитаризованную зону корпоративной вычислительной сети или в специализированный VLAN и строго ограничить доступы и протоколы взаимодействия этой подсети с основной корпоративной вычислительной сетью. В настоящее время на рынке имеется достаточно широкий набор устройств для организации защищенных соединений (VPN), позволяющих накладывать на такое взаимодействие дополнительные ограничения.

Терминальное взаимодействие оконечного устройства с сервером появилось практически с появлением первых компьютеров. Изначально такое взаимодействие более безопасное, чем организация VPN, т.к. предполагает обработку информации на сервере с передачей на оконечное устройство только символьного или графического интерфейса с отображением результата выполнения обработки информации на сервере. Современные оконечные устройства значительно более функциональны, да и сами протоколы терминального взаимодействия стали обладать значительно большими возможностями. Так, большинство современных терминальных протоколов взаимодействия имеют возможность шифрования передаваемого трафика. Но в то же время практически все из них позволяют файловую передачу данных, что с точки зрения безопасности несет в себе существенные риски. Поэтому применение современных протоколов терминального взаимодействия для организации удаленного доступа требует наложения дополнительных ограничений как минимум на файловую передачу данных и копирование информации через буфер обмена.

Web-публикация приложения и организация к нему доступа с использованием протокола HTTPS является наиболее современным способом организации безопасного удаленного доступа к информационным ресурсам. Многие современные системы (та же электронная почта) имеют встроенный функционал по организации такого доступа. Но даже если изначально у приложения нет встроенного Web-интерфей-са, существует достаточное количество программных инструментов для его организации.

Многое зависит от того, к какого рода информации планируется предоставлять доступ. Для удаленного доступа к критичным системам и серверам целесообразно использовать корпоративные устройства, на которых установлены жесткие политики по безопасности: отсутствие свободного доступа в Интернет, доступ возможен только для соединения с корпоративной сетью; организация функционально замкнутой среды – отсутствие прав на установку и запуск любого программного обеспечения, кроме разрешенного; шифрование жесткого диска устройства; запрет на подключение внешних накопителей и т.д.

Для менее критичных корпоративных систем можно разрешить доступ и с личных устройств при следующих условиях:

1. использование строгой системы аутентификации пользователей при удаленном доступе; необходимо использовать многофакторную аутентификацию;
2. у пользователя не должно быть возможности сохранить корпоративные данные на своем личном устройстве, либо на устройстве должна быть создана защищенная среда для работы с корпоративной информацией (отдельная загрузка ОС, отдельная виртуальная машина, для мобильных устройств – специальный криптоконтейнер);
3. протокол взаимодействия должен обеспечивать защиту (шифрование) передаваемых данных;
4. устройство пользователя должно соответствовать определенным требованиям безопасности;
5. должен быть настроен аудит событий удаленных подключений.

Какие же системы безопасности могут помочь при организации удаленного доступа? На вопросах использования антивирусного ПО, межсетевых экранах и системах обнаружения атак я даже останавливаться не буду. Посмотрим на более специализированные продукты.

1. Специализированные серверы (шлюзы) доступа.

Обычно объединяют в себе функциональность сервера аутентификации, VPN-шлюза, межсетевого экрана, системы обнаружения атак. Ряд из них может обеспечивать проверку пользовательских устройств на соответствие установленным политикам безопасности. Такие решения также могут иметь специализированный программный компонент для установки на пользовательском оборудовании.

2. Системы строгой аутентификации.

При использовании технологии BYOD достаточно сложно обеспечить единую для всех пользователей двухфакторную аутентификацию, в достаточной мере защищенную от перехвата аутентификационных данных при заражении пользовательского устройства вредоносным ПО. На практике хорошо себя зарекомендовали в этом смысле системы одноразовых паролей (ОТР).

3. Для обеспечения высокого уровня защищенности удаленного доступа к критичным информационным ресурсам целесообразно использовать специализированные компьютеры либо мобильные устройства, изначально имеющие защищенную конфигурацию и поддерживающие все необходимые функции безопасности.

4. Системы управления привилегированными учетными записями. Обычно применяются для снижения рисков при использовании удаленного подключения для администрирования систем. Основной функционал этих систем заключается в сокрытии реальных паролей доступа к критичным информационным системам организации, фиксации сессии удаленного управления вплоть до видеозаписи сессии целиком и возможность активного реагирования на определенные событии в сессии удаленного управления.

5. Системы MDM – Mobile Device Management (MAM – Mobile Application Management).

Это класс специализированных систем, заточенных под централизованное управление мобильными устройствами.

Исторически MDM-решения создавались для управления корпоративными мобильными устройствами. Когда речь шла исключительно о корпоративных ноутбуках, ни у кого не возникало сомнения, нужно ли ими управлять. Основная задача была так "закрутить гайки", чтобы пользователь не мог на нем сделать ничего критичного.

Если говорить о личных мобильных устройствах, то подходы, используемые для корпоративных устройств, тут не всегда подходят. У вас есть желание управлять тем "зоопарком" мобильных устройств, которые используются вашими работниками? Ваш работник вряд ли обрадуется, если вы запретите ему установку приложений из Apple Store или Google Play Market. Также пользователь не будет рад, если после его увольнения из организации вы полностью очистите ему планшет или мобильник, удалив с него все имеющиеся данные.

В большинстве современных MDM-решений решен вопрос разделения пользовательской среды и среды работы с корпоративными данными (обычно для этого используется технология криптоконтейнера). Соответственно, появилась возможность сконцентрироваться на управлении именно криптокон-тейнером, применяя к устройству в целом минимум требований и ограничений.

Наш опыт использования MDM-системы для реализации технологии BYOD (Bring Your Own Device) показал достаточно высокую эффективность этих систем при защите удаленного доступа к корпоративным данным. Помимо непосредственно защиты удаленного доступа такие системы позволяют организовать защищенное хранение и обработку корпоративной информации прямо на пользовательском устройстве. Гибкая система настроек дает широкие возможности по реализации выбранных политик безопасности как для личных, так и для корпоративных мобильных устройств.

Принцип трех "О"

Я начал статью с упоминания принципа трех "А", а закончить хочу принципом трех "О".

Про организацию удаленного доступа к информационным ресурсам компании:

1. Оцените риски.
2. Определите методы и средства защиты.
3. Обеспечьте приемлемый уровень безопасности (либо Откажитесь от этой затеи).