Информационная безопасность аппаратных решений USB over IP

[xcod]

Ваш VPN это уже СКЗИ со всеми вытекающими
регуляторы могут докопаться

[EvgeniyNuAfanasievich]

На предмет чего? Если там внутри не ходят ГТ или ПД то сомнительно.

[xcod]

Ключевое слово «если». Вы технически не ограничите передачу ПДн, а ПДн есть у всех, как минимум данные сотрудников. И если произойдет инцидент, утечка ПДн итд итп. Регулятору будет за что зацепиться.

[EvgeniyNuAfanasievich]

ну так вот они там либо есть, либо нет. могут быть еще в обезличенном виде.
это определяется на момент до построения ИС или же по пересмотру документации в процессе, если есть необходимость.
а логика типа "но аппарат то есть, значит виновен" не катит.
факт утечки еще нужно как-то зафиксировать субъекту обладателю ПД (а больше это никому не выгодно и не интересно), собрать логи какие-никакие и направить в соответственном направлении. не находите, что это весьма сложно сделать в описанной выше в статье ситуации.

[xcod]

Обезличены != защищены. Обезличенные данные можно исказить или изменить.
А если дословно цепляться к ФЗ 152 О перс данных. то ПДн это любая информация прямо или косвенно относящаяся к субъекту. РКН например просто цифры ИНН считает ПДн.
Передачу ПДн Вы можете ограничить только ОРД, но не технически, если конечно не завернуть все гайки пользователю.
Про утечку, я имею ввиду, если где то публично в сети ваши данные обнаружат. Тут и фиксировать ничего не надо.

[EvgeniyNuAfanasievich]

это верно отчасти. опять же как обосновать претензии к вышеозначенной сети, о том, что именно она источник утечки.
опять же фиксация факта утечки и направление обоснованных претензий лежит на плечах субъекта либо правоохранительных органов, но это уже маловероятно (разве что совсем крупный сайт, проект и т.п.)

[Pro100lamer]

Тоже брали и пользуемся девайсом DistKontrolUSB на 64 порта – со совей задачей справляется на 100%. Дальше остановлюсь только на нюансах, с которыми мы столкнулись:
1. Нет интеграции и AD, всех пользователей приходится забивать ручками.
2. В клиентском приложении пользователи видят все включенные в текущий момент времени ключи. (Хотя подключить могут только те, которые им разрешены, хорошо бы остальные им не видеть)
3. Нет возможности сохранения (экспорта, импорта настроек). В общем то пока (за полтора года) нам это не понадобилось, но не хочется повторно вводить вручную несколько десятков ключей и сотню пользователей.

По вопросу организации доступа к USB over IP — схема довольно простая и вполне разумная. Я бы еще дополнительно разделенные на три группы USB устройства разнес на три разных USB over IP концентратора.

[DoraTheExplorer]

Почему не рассматриваете программные решения удаленного доступа к USB по сети? Концентраторы USB устройств кажутся более надежными для этих целей? Не пробовали внедрять что-то типа таких софтов www.net-usb.com или их конкурентов?

[svkov]

Пробовали и не одно. Проблем было значительно больше, чем с аппаратными изделиями. Остановились на аппаратных. Но вопрос «почему» не хотелось бы обсуждать мельком. На мой взгляд нельзя рассматривать что то не задав исходные условия и конечные цели. А это материал для отдельной статьи и отдельного обсуждения. В рамках этого хотелось бы обсудить, что можно добавить, чтобы повысить безопасность использования USB устройств по сети.

[ealex91]

Я являюсь непосредственным техническим эксплуатантом приобретенного оборудования USB over IP концентратора этой компании.

Мы остались ОЧЕНЬ довольны данным оборудованием. Узнали об этом устройстве в Интернете, я искал такого рода устройства через Яндекс-поиск, а далее увидел это устройство через контекстную рекламу на Яндексе.

В части достоинств и недостатков могу сказать точно, что явных недостатков мы не увидели в текущем варианте эксплуатации. Форм-фактор отличный (стоечный вариант), имеется защита ключей (как опция). Единственный небольшой момент (мое субъективное мнение) - ОЧЕНЬ яркая подсветка портов, когда порты все включены, не видно куда воткнуты ключи...(ОЧЕНЬ ЯРКО). 

Функционально, как вариант, я бы добавил возможность управления устройством через мобильное приложение (это как тренд сейчас), т.к. очень удобно для администратора. Не было сложностей с настройкой от слова совсем. Но это только благодаря тому, что мы прошли пилотный (тестовый) запуск заранее, и в процессе пилота нам подробно показали и рассказали про настройку и функционал. БОЛЬШОЕ СПАСИБО ЗА ЭТО!

Нашли все, что нужно на сайте, в части инструкция и описаний. Единственное пожелание, выложить в более явном виде (чтобы прям по кнопке на главной странице сайта) ссылки на скачивание дистрибутивов клиентов для концентратора. На сайте их как раз не смог быстро найти и пришлось скачивать через само устройство, вкладку "ПОМОЩЬ".