Комментарии 15
Все просто нельзя экономить на админе. нет админа нет бакапа
Простите, а как бекап относится к удаленному доступу? Бекапирование вообще должно производиться в изолированный (желательно физически) от бекапируемой системы сегмент.
есть удаленька нет бакапа, в конце концов все пойдёт прахом.
Не стоит рассматривать только угрозы со стороны шифровальщиков и риск поломки оборудования с утерей информации. При неправильно организованном удаленном доступе злоумышленник может закрепиться в инфраструктуре а потом слить данные, использовать инфраструктуру не по назначению (DoS-атаки, ботнет..).
И вряд ли даже квалифицированный админ что-то сможет сделать, когда уже засела зараза.
снапшоты и бакап, общий откат на полгода, год, и залив вчерашних данных. да нужно сделать чтобы базы данных лежали отдельно, а операционные данные отдельно, но это просто нужно сделать 1 раз при планировании. и тогда 1 раз в месяц снапшот, раз в квартал полная копия виртуалки с последующим тестом поднятия, и все. если шифранули или что-то еще, возврат или просто текущая прибивается, и восстанавливается копия. а вот данные да нужно хранить на 3-4 серверах и на физ отключаемом носителе раз в день,
Спасибо за статью. Есть теперь примерное направления для движения в сторону организации удаленного доступа.
Изначально смотрел на АйТи Бастион, но его цена оказалась для бюджетного учреждения слишком кусачей, для организации удаленного доступа 1-2 сотрудникам во время больничного или декрета.
Обожаю формулировки наших it-законотворцев. То есть если к физически удаленному объекту прикрутить доступ через VPN + SSL, то юридически он перестаёт быть физически удаленным. Класс.
При современном уровне развития ИТ понятие удаленного доступа не то чтобы размывается, а вообще уже пропадает как класс.
идея статьи, "Удаленное подключение осуществляется с использованием VPN. В загрузочный токен вшивается VPN-клиент сертифицированного СКЗИ, который используется на периметре сети предприятия. Первым этапом пользователь подключается к сети предприятия. Вторым — запускает терминальный клиент, с которым подключается уже к целевым ресурсам. "
если хакер попал на компьютер клиента и там у него полный доступ он подключится куда угодно, вопрос в критических данных и утечках информации. а также скорости востановлении после атаки, данные в памяти лежать в 99% случаях в не шифрованном виде, так как шифрованные работаю медленно. тоесть нету скажем ворда который имел бы встроенное шифрование данных, и утянутые документы не открылись бы на другом компьютере, в1с можно через внешнюю обработку выгрузить что угодно. нет 1с кторая бы шифровала бы данные внутри своих баз, стянул базу и все все данные у тебя. есть конечно базис мебельщик у них есть шифрование и файлы вне системы не чем не откроются, так же должно быть и с другим софтом, ну стянул ты и толку, а сидеть в нутрии системы и расшифровать тысячи файлов, да тебя спалят,
Суть тут в том, что подобные решения с доверенными оболочками как раз и помогают отсечь подобную угрозу, даже в том случае если домашняя операционная система пользователя уже скомпрометирована. Т.к. в процессе работы из такой оболочки, какой-либо информационный обмен с домашней ОС пользователя отсутствует.
Если пользователи подключаются с личных устройств только с одним VPN (по логину паролю), насколько это критично? Многофакторки пока тоже нет. КИИ не являемся, но тем не менее, хотелось бы также понимать риски.
пароль и логин, не варинат, сертификат, да. удобство блокировки, заблочил его ключ и он не подключится, плюс меньше пользователю нужно запоминать.
Если кроме защиты канала связи никакие другие меры защиты не применяются, то основной риск тут в том, что среды удаленных пользователей могут быть скомпрометированы. А это, в свою очередь, может вести уже к самым разным вариантам развития событий, в т.ч. к попаданию и распространению ВПО внутри сети предприятия, сливу конфиденциальных данных, доступу внутрь неустановленных лиц с дальнейшим закреплением присутствия и т.д., что может привести к недопустимым событиям для бизнеса вашей компании.
За разъяснением мы обратились во ФСТЭК России и получили от них такой ответ
Было бы конечно не плохо увидеть пруфы (скан etc.)
Как реализовать безопасный удаленный доступ в КИИ