Недавно поделился опытом при поиске решения для организации централизованного доступа к ключам электронной защиты в нашей организации. В комментариях были поднят серьезный вопрос информационной безопасности аппаратных решений USB over IP, который и нас весьма беспокоит.
Итак, сначала все же определимся с исходными условиями.
Для обеспечения безопасности доступа к USB устройствам приняты организационные и технические меры:
1. Организационные меры безопасности.
Управляемый USB over IP концентратор установлен в качественно закрывающийся на ключ серверный шкаф. Физический доступ к нему упорядочен (СКД в само помещение, видеонаблюдение, ключи и права доступа у строго ограниченного круга лиц).
Все используемые в организации USB устройства условно разделены на 3 группы:
2. Технические меры безопасности.
Сетевой доступ к управляемому USB over IP концентратору предоставляется только внутри изолированной подсети. Доступ в изолированную подсеть предоставляется:
На самом управляемом USB over IP концентраторе DistKontrolUSB с использованием его штатных средств настроены функции:
Предполагаем, что такая организация доступа к USB устройствам обеспечивает их безопасное использование:
В комментариях хотелось бы услышать конкретные практические меры, повышающие информационную безопасность предоставления глобального доступа к USB устройствам.
Итак, сначала все же определимся с исходными условиями.
- Большое количество ключей электронной защиты.
- Доступ к ним необходим из различных географических мест.
- Рассматриваем только аппаратные решения USB over IP и пытаемся обезопасить это решение принятием дополнительных организационных и технических мер (вопрос альтернатив пока не рассматриваем).
- В рамках статьи не буду полностью расписывать рассматриваемые нами модели угрозы (многое можно посмотреть в публикации), но тезисно остановлюсь на двух моментах. Исключаем из модели социальную инженерию и противоправные действия самих пользователей. Рассматриваем возможности несанкционированного доступа к USB устройствам из любой из сетей не имея штатных учетных данных.
Для обеспечения безопасности доступа к USB устройствам приняты организационные и технические меры:
1. Организационные меры безопасности.
Управляемый USB over IP концентратор установлен в качественно закрывающийся на ключ серверный шкаф. Физический доступ к нему упорядочен (СКД в само помещение, видеонаблюдение, ключи и права доступа у строго ограниченного круга лиц).
Все используемые в организации USB устройства условно разделены на 3 группы:
- Критичные. Финансовые ЭЦП – используются в соответствии с рекомендациями банков (не через USB over IP)
- Важные. ЭЦП для торговых площадок, услуг, ЭДО, отчетности и т.д., ряд ключей для ПО — используются с применением управляемого USB over IP концентратора.
- Не критичные. Ряд ключей для ПО, камеры, ряд флешек и дисков с не критичной информацией, USB модемы — используются с применением управляемого USB over IP концентратора.
2. Технические меры безопасности.
Сетевой доступ к управляемому USB over IP концентратору предоставляется только внутри изолированной подсети. Доступ в изолированную подсеть предоставляется:
- с фермы терминальных серверов,
- по VPN (сертификат и пароль) ограниченному количеству компьютеров и ноутбуков, по VPN им выдаются постоянные адреса,
- по VPN туннелям, соединяющим региональные офисы.
На самом управляемом USB over IP концентраторе DistKontrolUSB с использованием его штатных средств настроены функции:
- Для доступа к USB устройствам USB over IP концентратора используется шифрование (на концентраторе включено шифрование SSL), хотя возможно это уже и лишнее.
- Настроено «ограничение доступа к USB устройствам по IP адресу». В зависимости от IP адреса пользователю предоставляется или нет доступ к назначенным USB устройствам.
- Настроено «Ограничение доступа к USB порту по логину и паролю». Соответственно пользователям назначены права на доступ к USB устройствам.
- «Ограничение доступа к USB устройству по логину и паролю» решили не использовать, т.к. все USB ключи подключены к USB over IP концентратору стационарно и из порта в порт не переставляются. Для нас логичнее предоставлять доступ пользователям к USB порту с установленным в него на длительное время устройством USB.
- Физическое включение и выключение USB портов осуществляется:
- Для ключей от софта и ЭДО — с помощью планировщика задач и назначенных заданий концентратора (ряд ключей запрограммировали на включение в 9.00 и отключение в 18.00, ряд с 13.00 до 16.00);
- Для ключей от торговых площадок и ряда софта – имеющими разрешение пользователями через WEB интерфейс;
- Камеры, ряд флешек и дисков с не критичной информацией – включены всегда.
Предполагаем, что такая организация доступа к USB устройствам обеспечивает их безопасное использование:
- из региональных офисов (условно NET №1 …… NET № N),
- для ограниченного ряда компьютеров и ноутбуков подключающих USB устройства через глобальную сеть,
- для пользователей, опубликованных на терминальных серверах приложений.
В комментариях хотелось бы услышать конкретные практические меры, повышающие информационную безопасность предоставления глобального доступа к USB устройствам.