Rus
Мнения
Новые задачи информационной безопасности для удаленной работы

Сегодня, в век всеобщей цифровизации, сложно представить себе крупный или средний бизнес, специалисты информационной безопасности которого не столкнулись бы с организацией защищенного удаленного доступа сотрудников. Даже если такого рода взаимодействия были исключены внутренними регламентами или в них отсутствовала необходимость, события последнего времени и внешние форс-мажорные обстоятельства показали актуальность данного вопроса

Синергия передовых ИТ и средств защиты

Каждая компания решает вопросы защиты удаленного доступа уникальным образом, отталкиваясь от потребностей и классификации информации, к которой сотрудники получают удаленный доступ. Кто-то останавливается на организации remote access VPN, кто-то разворачивает масштабные VDI- или EMM-решения.

Однако все чаще наши заказчики обращаются с запросами построения унифицированной системы удаленного доступа, которая в рамках одной инсталляции позволила бы решить весь спектр задач по соответствию как внутренним регламентам, так и требованиям регуляторов и федеральных законодательных актов.

Современные технологии ИТ и ИБ, как правило, противостоят друг другу, рождая все новые конфликты интересов. Наши специалисты считают, что удаленный доступ – это сфера, в которой возможна уникальная синергия передовых информационных технологий и средств защиты.

Для этого необходимо лишь взглянуть на проблему под нестандартным углом: что будет, если решать задачу удаленного доступа не только извне, но и во внутреннем контуре компании? Ведь в таком случае, внедрив верную внутреннюю политику обеспечения сотрудников АРМ и применив корректный набор средств защиты, можно получить универсальную систему.

computer-4939257_1920.jpg

Речь идет о защищенной системе VDI. В случае если компания обладает достаточной зрелостью и гибкостью ИТ, возможен переход на инфраструктуру тонких клиентов (терминалов) для обеспечения сотрудников рабочими станциями. При условии среднекрупных размеров штата стоимость внедрения и обслуживания VDI и тонких клиентов приближается к стоимости закупки стационарных рабочих мест. Если подумать о том, что VDI в состоянии закрыть вопрос удаленного доступа извне, то сюда же добавляется стоимость ноутбуков для сотрудников, имеющих право работать удаленно. 

Со стороны состава средств защиты все выглядит достаточно стандартно: межсетевой экран, терминирующий remote access VPN, система двухфакторной аутентификации с web-порталом, SSO. В дополнение для контроля и разграничения доступа в инфраструктуре виртуальных рабочих столов необходимо внедрить сертифицированное средство защиты среды виртуализации.

Интересным является тот факт, что на одних и тех же мощностях можно закрыть не только внутренние, но и внешние потребности, а также выполнить требования федерального законодательства без внедрения сертифицированной системы удаленного доступа. Единственные компоненты, которые должны быть сертифицированы в случае предоставления доступа к чувствительной информации, – средство защиты среды виртуализации и межсетевой экран, так как именно эти системы будут отвечать за предоставление доступа к хосту VDI и между гостевыми инстансами.

Такая схема позволяет упразднить внутренний защищаемый контур как таковой, поскольку вся инфраструктура компании будет позволять осуществлять обработку чувствительной информации.

В случае же, если компания желает сохранить внутренний защищаемый контур как обособленную часть инфраструктуры, можно рассмотреть вариант, в котором внутренние защищаемый и пользовательский контуры разделены сертифицированным межсетевым экраном, а хост VDI находится за пределами защищаемого контура. Тогда решение класса «средство защиты среды виртуализации» не потребуется, однако средство VDI должно быть сертифицированным, так как в данном случае управление административными сессиями и доступом к чувствительной информации внутреннего защищаемого контура будет контролироваться именно этими двумя системами.

data-1590455_1920.jpg

Рациональный подход

Далеко не все компании готовы кардинально изменить свою инфраструктуру, особенно в той части, которая касается упразднения внутреннего защищаемого контура. Однако такого рода системы, обладающие высокой степенью интеграции ИТ и ИБ, позволяют максимально унифицировать и упростить инфраструктуру как ИТ, так и ИБ.

Архитектура решения в данном случае имитирует организацию защищенного private cloud, предоставляя гибкую и легко масштабируемую платформу для организации рабочего места как сервиса. Подобная архитектура обладает высокой степенью интегрируемости с любыми внутренними сервисами, а также позволяет предоставлять доступ извне с любых (в том числе недоверенных) рабочих станций, поскольку VDI позволяет в явном виде запретить передачу любой информации, кроме графической.

Кроме того, данная система может быть интегрирована с EMM-решением, что позволит окончательно убрать границы для удаленных терминалов, разрешив осуществлять подключения со смартфонов, планшетов и работать с любым классом данных удаленно.

Таким образом, вместо того, чтобы решать вопросы предоставления удаленного доступа и его защиты отдельно, современные технологии информационной защиты и информационной безопасности позволяют решать эти задачи одновременно.

Данный подход способствует оптимизации ИТ-инфраструктуры, затрат на рабочие места сотрудников компании, количество активного сетевого оборудования и активных средств сетевой защиты, а также кластеры виртуальных мощностей. С другой стороны, меняются и оптимизируются бизнес-процессы, упрощая взаимодействие между пользователями и целевыми системами, повышается прозрачность контроля потоков информации внутри компании и административных сессий, действий без необходимости внедрения отдельных специализированных решений информационной безопасности, ведь все требуемые средства защиты уже будут внедрены и использованы не только для защиты, но и для администрирования.

computer-1591018_1920.jpg

Например, система Identity Manager в данном случае может быть предназначена для организации SSO, портала аутентификации, а также для интеграции с системой двухфакторной аутентификации, формируя для пользователей единую точку входа в инфраструктуру компании, причем как внутри, так и при доступе извне. При этом система будет управлять привилегиями пользователей и администраторов, предоставляя требуемую информацию для сотрудников ИБ.

Такой подход реализует не защиту удаленного доступа, а защищенный удаленный доступ, помогая осуществить переход к архитектуре secure by design. Объединение усилий ИТ и ИБ позволяет строить изначально безопасную инфраструктуру, а не защищать продукты и процессы, удобные кому-то одному, а также вместо большого количества разрозненных систем перейти к полноценной ИТ- и ИБ-экосистеме предприятия, способной стать настоящим ядром – гибким, управляемым, удобным для конечных пользователей, защищенным, готовым к интеграции с другими решениями и системами на сети компании.