Безопасный и комфортный доступ в интернет или как защитить свою сеть от интернет угроз без неудобств

Слушая недавнее интервью уважаемого Евгения Касперского на RussiaToday, где он выразил мысль о том, что скоро большинство сотрудников компаний не будет иметь доступа в интернет, я вспомнил о практике многих компаний полностью отделяющих внутреннюю сеть от интернета, предоставляя доступ к интернету только с отдельно выделенных компьютеров, и решил изложить свои мысли по данному аспекту информационной безопасности.

Практика полного разделения локальной сети и доступа в интернет достаточно правильная и, по мнению многих ИТ специалистов, является единственным 100% способом защиты корпоративных данных. Однако, данный способ, помимо больших затрат на его реализацию, имеет еще один весьма существенный недостаток, а именно неудобство использования интернета. Отсутствие комфортного доступа к интернету влечет за собой не только прямые потери в виде снижения эффективности работы сотрудников, но и косвенные, такие как снижение лояльности сотрудников и престижа работы, что является прямой причиной роста затрат компании.

Типичная схема подобной сети выглядит так:



Данная схема полностью отделяет рабочие места от сети интернет и даже в случае попадания трояна на компьютер сотрудника он не сможет передать украденную информацию в интернет. Также сеть, построенная по такой схеме, предотвращает несанкционированное распространение конфиденциальной информации сотрудником компании через интернет.

И все же, при всей безопасности данная схема имеет существенный недостаток – это отсутствие гибкости и комфортной работы, так как возможны только два состояния: у сотрудника или совсем нет доступа в интернет, или он есть на отдельной машине.

Чтобы решить эти проблемы и позволить сотруднику полноценно работать, есть интересное решение в виде виртуализации приложений, у Microsoft данная технология называется App-V.

Microsoft Application Virtualization (App-V) технлогия позволяющая сделать программы доступными для пользовательских компьютеров без необходимости устанавливать их непосредственно на эти компьютеры. Благодаря процессу, называемому виртуализацией приложений, который позволяет каждому приложению работать в собственной автономной виртуальной среде на клиентском компьютере. Виртуализированные приложения изолированы друг от друга. Это позволяет избежать конфликтов между приложениями, но они по-прежнему могут взаимодействовать с клиентским компьютером.

Осуществляется это следующим образом: в DMZ устанавливаем терминальный сервер, на который разрешаем интернет-трафик, настраиваем интернет-браузер как виртуальное приложение, запрещаем использование буфера и использование локальных ресурсов через RDP. Также в DMZ настраиваем Remote Desktop Gateway и разрешаем доступ к нему по https из сети компании.

Примерная схема:



Итак, что мы имеем в итоге:

Пользователи компании, изолированные внутренней сетью от интернета, заходят на внутреннюю веб-страницу сервиса RDG, на которой опубликован интернет–браузер или запускают RDP файл.

Пройдя аутентификацию, при наличии достаточных прав, пользователь запускает браузер, работа которого для пользователя неотличима от работы браузера на его локальной машине. Реально же браузер работает на терминальном сервере, может только выводить информацию на монитор и получать команды с клавиатуры и мыши, не имея доступа к другим ресурсам пользовательского компьютера или локальной сети. Таким образом, при вполне комфортной работе, мы получаем полностью изолированный от компьютера и внутренней сети браузер с доступом в интернет.

Ссылки по статье:
Application Virtualization
Remote Desktop Gateway

C уважением коллектив компании Servilon.ru Servilon.com
Share post

Similar posts

AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 26

    +1
    Я правильно понял, что просматриваемую веб-страницу нельзя будет сохранить на жесткий диск пользователя? Если да, то в чем функциональное отличие от простого подключения пользователя по RDP?
      0
      если разрешить мапинг дисков, то можно сохранить, все зависит, функционально это и есть RDP, только терминально работает одно приложение — веб браузер
        0
        В реальном мире может появиться необходимость дать пользователю возможность отправки данных в интернет через браузер, но при этом иметь отчет о файлах, которые передал пользователь.
        В случае с обычным прокси-сервером можно приспособить под это дело Snort, скормив ему сигнатуры пакетов, из которых можно почерпнуть такую информацию как имя файла, размер файла, время передачи, направление+источник.
        А как решить эту задачу в вашей схеме?
          0
          файлы можно отправить, но только если они находятся в DMZ, по сути можно прикрутить прокси и Snort в DMZ
            0
            Да, но ведь в качестве адреса источника будет выступать IP терминального сервера, что обезличит отправителя.

            P.S. Просто я использую как раз такую схему со Snort'ом и историей перемещений IP-адресов по компьютерам пользователей, что позволяет более или менее идентифицировать отправителя :)
              0
              согласен, идентифицировать нужно) можно включить аутентификацию на прокси
      +3
      Читая эту инновацию от Microsoft, воспоминаю, что я так и делаю, пробрасывая Иксы с FireFox к себе из вне. То есть, использую ssh туннелирование иксов.
        0
        Не пробовал пробрасывать, но разве при этом не лишаемся возможности в одном окне открыть браузер, а в другом, скажем, IDE без дополнительных «рамок» вокруг браузера?
          0
          При туннелировании иксов по ССШ ничего не лишаемся.
            0
            То есть удаленное приложение рисует не в удаленных иксах, которые передаются в локальные, а сразу в локальных? Я думал, что это типа удаленного рабочего стола в винде.
              +1
              Нет, это — лучше. Проброшенное по X приложение ведёт себя полностью идентично запущенному «локально». X — изначально сетевой протокол.
        0
        Видел рабочую реализацию этой идеи на 1000 рабочих мест в 2009-м году (в России).
        Что именно здесь нового?
          0
          «Безопасный и комфортный доступ»
          Я бы добавил еще «безжалостный». Так жестко наступать на ноги своим подчиненным — это сурово.

          Есть же механизмы защиты блокирующие запуск вообще любого исполняемого кода кроме подписанного. Хоть завались в таком окружении зловредами — они тупо не будут запускаться. Да, это требует внесения в политики новых версий ПО, контроля, поддержки и не работает «само». А ведь так хочется чтобы само… :))
            +1
            Механизмы есть, но здесь рассматривается не только способ борьбы с вирусами, но и защита от передачи корпоративных данных. Ведь если у браузера сотрудника нет доступа к жестким дискам сотрудника, то он не сможет передать в интернет корпоративную документацию.
              0
              Если уж очень захочет — сфоткает с экрана монитора. Все эти ограничения — далеко не комфортные и часто просто раздражающие. Должен быть баланс между безопасностью и комфортом.
                0
                Баланс — вечный вопрос и больная мозоль :) Всегда приходится его искать. Между прочим, в определенных ситуациях описанная схема может быть даже очень лояльной к пользователям. Все в мире относительно :)

                Кстати, недавно на веблансере проскакивал проект, в котором необходимо было выдернуть номера телефонов из ~20 фотографий детализации, сделанных с монитора :)
                  0
                  Описанная схема — да. Но вот для защиты от растаскивания надо еще жестко фильтровать почту, отключать флешки (это делают вообще очень часто, хотя это и раздражает очень сильно в определенных ситуациях) и вообще параноить надо по взрослому. И все равно — снять на камеру телефона 20 страниц теста (да хоть 2000, если правильно ее закрепить) и заказать потом распознание текста — никаких проблем не вызывает.
                  Можно, конечно, запретить мобильные телефоны с камерой :))
                    0
                    в данной статье подымался вопрос про интернет доступ (браузинг), а вообще согласен, все нужно в комплексе
                      0
                      Обычно статьи на тему перекрытия одного из каналов утечки всегда комментируются в стиле «есть еще дофига каналов утечки» :)
                        0
                        И совсем не зря. Очень часто прикрывая один канал утечки забывают либо про все остальные вообще, либо про многие. Все их закрыть сложно, а если ставить себе задачу закрыть так, чтобы никому ничего не прищемить, то вообще невозможно. В итоге выходит что зачастую все эти меры не имеют особого результата — пока в решете все дырки не закрыть — все равно водичка будет убегать.
                        По кругу выходит, что возможности увода информации есть, защита не абсолютна, а та защита которая имеется — только портит кровь.
                          +1
                          Нет абсолютной защиты. Это понимают все.

                          Во всех стандартах по информационной безопасности описана схема: анализ каналов утечки — применение средств безопасности — анализ инцидентов безопасности — выработка решения — применение средств — анализ инцидентов -…

                          Цель внедрения любого решения по безопасности — снижение рисков до приемлемого уровня. Чем ниже риски, тем спокойнее спится.

                          Применяя вашу аналогию с решетом можно сказать: чем больше дырок в решете закроется, тем лучше. Чем больше уязвимых мест будет закрыто, тем больше вероятность, что злоумышленник не пойдет искать следующее уязвимое место. Чем больше времени потратит злоумышленник на поиск уязвимости, тем больше вероятность, что к моменту слива целевая информация потеряет актуальность.

                          Цель любой системы безопасности — сделать так, чтобы стоимость ресурсов, затрачиваемых на кражу информации, превосходила стоимость информации.

                          Ну и не стоит забывать, что существует такое понятие, как непреднамеренная утечка информации. И процент непреднамеренной утечки очень большой. Данная схема, в основном, направлена на снижение этого процента. Ну и на повышение количества затраченных ресурсов злоумышленника.
                            0
                            Да я это все понимаю и не оспариваю. Вопрос в актуальности, собственно. На сколько та самая потенциально слитая кому-то информация вообще ценна? Если к ней имеет доступ тот, кто не должен иметь доступа (какие-то финансовые документы, например), то это уже не нормально. Если же доступ имеет два человека, а один из них генеральный директор, то тоже как-то не очень понятно зачем городить огород.
                            Я о том, что айтишники, бывает, с пристрастием подходят к защите и тщательно сражаются за безопасность, которая может быть в этом месте во первых не нужна совершенно, а во вторых часто упускают самые простые способы увода этой самой информации. Камерой современного телефона можно много и качественно снять. Ноутбук генерального может быть украден, а на нем могут быть не шифрованные данные (было такое в компании, в которой я работал. Тупо потащили ноутбук за сетевой провод и вытащили через решетку) и тому подобные часто не айтишные способы увода информации.

                            Я на заре своего сайтостроительства вступил во владения без предшественника. Был нужен доступ к сайту (ftp), которого предшественник не оставил. Я позвонил хостеру и спросил пароли. Сказал, мол, так и так — я новый программист. Мне продиктовали пароли и я занялся своими делами. При этом всем та же компания выделяла дисковую квоту с шагом в 200 мегабайт и только по письменному запросу на корпоративном бланке.

                            Равнопрочность должна быть. Если у стула одна ножка гнилая — нет смысла делать супермощными все остальные — сломается именно гнилая ножка.
                              0
                              Это все понятно, просто получается, человек привел способ перекрытия канала утечки, а ему сказали, что смысла нет его перекрывать, потому что еще 10 каналов есть :)

                              Я считаю, что это довольно адекватная статья, описывающая один из механизмов предотвращения утечки информации через интернет. При этом здесь сделан упор на комфорт пользователя. Пусть он и не такой, как дома, но сам факт того, что безопасник думает о пользователе, уже вешает на него плюс :)
                                0
                                С точки зрения «один из каналов» — согласен, виноват.
                0
                совершенно верно
              +1
              Давайте представим типичную компанию: бухгалтера отправляют отчеты (онлайн-банкинг), отдел кадров занимается просмотром резюме (рекрутинг-сайты), пиар отдел заказывает у подрядчиков рекламу (ищут подрядчика, смотрят работы). Все работают через браузер. Скажите, должен ли браузер иметь доступ к HDD? Будь то локальная папка или сетевая — должен. Бухгалтера должны откуда-то загружать отчеты, HR'ы — сохранять просмотренные резюме, а пиарщики — макеты и эскизы. Возвращяясь к локальным или сетевым папкам — доступ должен быть как с компьютера пользователя, так и с APP-сервера, на котором запускается браузер. Соответственно никто не мешает в эту папку забросить конфиденциальные данные. А значит — дыра в безопасности не закрыта.

              Я ни в коем случае не говорю, что эта технология не имеет права на жизнь. Но она скорее нужна тем, кто должен работать в режиме read-only — например, гости, пришедшие в компанию.

              Вы сами выбрали сферу IT и Вы должны понимать, что IT — это обслуживающий персонал. И необходимо учитывать комфорт, а не ставить безопасность превыше всего. Уборщица ведь тоже может перекрыть Вам доступ в туалет на целый день, заявляя, что тем самым уберегает конфиденциальные данные от передачи Вами посредством MMS/мобильного интернета в тех местах, где нету камер видеонаблюдения.

              Only users with full accounts can post comments. Log in, please.