Итак, сначала все же определимся с исходными условиями.
Большое количество ключей электронной защиты.
Доступ к ним необходим из различных географических мест.
Рассматриваем только аппаратные решения USB over IP и пытаемся обезопасить это решение принятием дополнительных организационных и технических мер (вопрос альтернатив пока не рассматриваем).
В рамках статьи не буду полностью расписывать рассматриваемые нами модели угрозы (многое можно посмотреть в публикации), но тезисно остановлюсь на двух моментах. Исключаем из модели социальную инженерию и противоправные действия самих пользователей. Рассматриваем возможности несанкционированного доступа к USB устройствам из любой из сетей не имея штатных учетных данных.
Хочу поделиться нашим годичным опытом при поиске решения для организации централизованного и упорядоченного доступа к ключам электронной защиты в нашей организации (ключи для доступа к площадкам для торгов, банковские, ключи защиты программного обеспечения и т.д.). В связи с наличием у нас филиалов, территориально весьма разнесенных друг от друга, и наличием в каждом из них по нескольку ключей электронной защиты — постоянно возникает необходимость в них, но в разных филиалах. После очередной суеты с потерянным ключом, руководство поставило задачу — решить эту проблему и собрать ВСЕ USB устройства защиты в одном месте, и обеспечить с ними работу не зависимо от места расположения сотрудника.
Итак, нам необходимо собрать в одном офисе все имеющиеся в нашей компании ключи банк клиентов, лицензий 1с (hasp), рутокены, ESMART Token USB 64K, и т.д. для последующей эксплуатации на удаленных физических и виртуальных машинах Hyper-V. Количество usb устройств – 50-60 и точно, что это не предел. Расположение серверов виртуализации вне офиса (датацентр). Расположение всех USB устройств в офисе.
