IT ManagerБезопасностьУправление ИБ

Новые задачи информационной безопасности для удаленной работы

Никита Семенов | 03.06.2020

Новые задачи информационной безопасности для удаленной работы

Сегодня, в век всеобщей цифровизации, сложно представить себе крупный или средний бизнес, специалисты информационной безопасности которого не столкнулись бы с организацией защищенного удаленного доступа сотрудников. Даже если такого рода взаимодействия были исключены внутренними регламентами или в них отсутствовала необходимость, события последнего времени и внешние форс-мажорные обстоятельства показали актуальность данного вопроса.

Синергия передовых ИТ и средств защиты

Каждая компания решает вопросы защиты удаленного доступа уникальным образом, отталкиваясь от потребностей и классификации информации, к которой сотрудники получают удаленный доступ. Кто-то останавливается на организации remote access VPN, кто-то разворачивает масштабные VDI- или EMM-решения.

Однако все чаще наши заказчики обращаются с запросами построения унифицированной системы удаленного доступа, которая в рамках одной инсталляции позволила бы решить весь спектр задач по соответствию как внутренним регламентам, так и требованиям регуляторов и федеральных законодательных актов.

Современные технологии ИТ и ИБ, как правило, противостоят друг другу, рождая все новые конфликты интересов. Наши специалисты считают, что удаленный доступ – это сфера, в которой возможна уникальная синергия передовых информационных технологий и средств защиты.

Для этого необходимо лишь взглянуть на проблему под нестандартным углом: что будет, если решать задачу удаленного доступа не только извне, но и во внутреннем контуре компании? Ведь в таком случае, внедрив верную внутреннюю политику обеспечения сотрудников АРМ и применив корректный набор средств защиты, можно получить универсальную систему.

Речь идет о защищенной системе VDI. В случае если компания обладает достаточной зрелостью и гибкостью ИТ, возможен переход на инфраструктуру тонких клиентов (терминалов) для обеспечения сотрудников рабочими станциями. При условии среднекрупных размеров штата стоимость внедрения и обслуживания VDI и тонких клиентов приближается к стоимости закупки стационарных рабочих мест. Если подумать о том, что VDI в состоянии закрыть вопрос удаленного доступа извне, то сюда же добавляется стоимость ноутбуков для сотрудников, имеющих право работать удаленно.

Со стороны состава средств защиты все выглядит достаточно стандартно: межсетевой экран, терминирующий remote access VPN, система двухфакторной аутентификации с web-порталом, SSO. В дополнение для контроля и разграничения доступа в инфраструктуре виртуальных рабочих столов необходимо внедрить сертифицированное средство защиты среды виртуализации.

Интересным является тот факт, что на одних и тех же мощностях можно закрыть не только внутренние, но и внешние потребности, а также выполнить требования федерального законодательства без внедрения сертифицированной системы удаленного доступа. Единственные компоненты, которые должны быть сертифицированы в случае предоставления доступа к чувствительной информации, – средство защиты среды виртуализации и межсетевой экран, так как именно эти системы будут отвечать за предоставление доступа к хосту VDI и между гостевыми инстансами.

Такая схема позволяет упразднить внутренний защищаемый контур как таковой, поскольку вся инфраструктура компании будет позволять осуществлять обработку чувствительной информации.

В случае же если компания желает сохранить внутренний защищаемый контур как обособленную часть инфраструктуры, можно рассмотреть вариант, в котором внутренние защищаемый и пользовательский контуры разделены сертифицированным межсетевым экраном, а хост VDI находится за пределами защищаемого контура. Тогда решения класса «средство защиты среды виртуализации» не потребуется, однако средство VDI должно быть сертифицированным, так как в данном случае управление административными сессиями и доступом к чувствительной информации внутреннего защищаемого контура будет контролироваться именно этими двумя системами.

Рациональный подход

Далеко не все компании готовы кардинально изменить свою инфраструктуру, особенно в той части, которая касается упразднения внутреннего защищаемого контура. Однако такого рода системы, обладающие высокой степенью интеграции ИТ и ИБ, позволяют максимально унифицировать и упростить инфраструктуру как ИТ, так и ИБ.

Архитектура решения в данном случае имитирует организацию защищенного private cloud, предоставляя гибкую и легко масштабируемую платформу для организации рабочего места как сервиса. Подобная архитектура обладает высокой степенью интегрируемости с любыми внутренними сервисами, а также позволяет предоставлять доступ извне с любых (в том числе недоверенных) рабочих станций, поскольку VDI позволяет в явном виде запретить передачу любой информации, кроме графической.

Кроме того, данная система может быть интегрирована с EMM-решением, что позволит окончательно убрать границы для удаленных терминалов, разрешив осуществлять подключения со смартфонов, планшетов и работать с любым классом данных удаленно.

Таким образом, вместо того, чтобы решать вопросы предоставления удаленного доступа и его защиты отдельно, современные технологии информационной защиты и информационной безопасности позволяют решать эти задачи одновременно.

Данный подход способствует оптимизации ИТ-инфраструктуры, затрат на рабочие места сотрудников компании, количество активного сетевого оборудования и активных средств сетевой защиты, а также кластеры виртуальных мощностей. С другой стороны, меняются и оптимизируются бизнес-процессы, упрощая взаимодействие между пользователями и целевыми системами, повышается прозрачность контроля потоков информации внутри компании и административных сессий, действий без необходимости внедрения отдельных специализированных решений информационной безопасности, ведь все требуемые средства защиты уже будут внедрены и использованы не только для защиты, но и для администрирования.

Например, система Identity Manager в данном случае может быть предназначена для организации SSO, портала аутентификации, а также для интеграции с системой двухфакторной аутентификации, формируя для пользователей единую точку входа в инфраструктуру компании, причем как внутри, так и при доступе извне. При этом система будет управлять привилегиями пользователей и администраторов, предоставляя требуемую информацию для сотрудников ИБ.

Такой подход реализует не защиту удаленного доступа, а защищенный удаленный доступ, помогая осуществить переход к архитектуре secure by design. Объединение усилий ИТ и ИБ позволяет строить изначально безопасную инфраструктуру, а не защищать продукты и процессы, удобные кому-то одному, а также вместо большого количества разрозненных систем перейти к полноценной ИТ- и ИБ-экосистеме предприятия, способной стать настоящим ядром – гибким, управляемым, удобным для конечных пользователей, защищенным, готовым к интеграции с другими решениями и системами в сети компании.

виртуализация

Горячие темы: Бизнес в цифре

Журнал: Журнал IT-Manager [№ 05/2020], Подписка на журналы

Talmer | ТАЛМЕР


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

«Пока больше некого назначить, поэтому заткнем дыру тобой. Потом переназначим». Упражнение называется «как убить сломать сотрудника за одно действие: повысить и понизить обратно». Для надежности повторять неоднократно.
Угроза, что технологический разрыв между крупным и средним бизнесом будет расти, волнует предпринимателей, но облачные решения наоборот, могут сократить и даже полностью стереть его.

Я первое время ходил на все встречи с диктофоном, что спасал о меня от ситуации, когда я полностью понял собеседника, идеально подстроился, обо всем договорился… но вот о чем договорился и вообще, что обсуждали –, не помню хоть убей.

Компании сообщают

Мероприятия

XIV Конгресс «Подмосковные Вечера»
Москва, Конгресс-отель «Ареал»
27.09.2020 — 29.09.2020
Конференция Autodesk Pro Forum
ОНЛАЙН
1 500 руб
29.09.2020 — 30.09.2020
Smart Industry EXPO
Минск, Футбольный манеж
29.09.2020 — 02.10.2020