Защита клиентских рабочих мест

Работа конечных пользователей с центром обработки данных (ЦОДом) может строиться несколькими различными способами: работа с виртуальными рабочими станциями, работа на основе терминального доступа, web-доступа или смешано. Во всех этих случаях пользователь физически работает на каком-то средстве вычислительной техники (СВТ), и оно также является объектом защиты, поскольку именно с него осуществляется доступ к защищаемому ЦОДу. Система защиты должна учитывать все нижеперечисленные требования:

  • доступ к системе должен осуществляться из доверенной среды, которая, в свою очередь, должна обеспечиваться на клиентских средствах вычислительной техники;
  • внедрение системы защиты не должно вести к замене оборудования, не вышедшего еще из строя, даже если это «зоопарк» разных СВТ с разными ОС;
  • защищенный доступ к системе не должен быть разорван с подсистемой разграничения доступа в самой системе.

Системы, работающие с ЦОДами, хороши тем, что позволяют использовать в качестве клиентов практически что угодно. В первую очередь это значит, что можно использовать все, что уже никому не нужно, а выбросить жалко. Это очень важно, однако это далеко не единственный плюс такой неприхотливости терминальных систем.

Кроме возможности использования машин, которые иначе можно только выбросить (и сохранения инвестиций за счет этого), в качестве терминальных клиентов можно использовать и машины, которые обладают прекрасными характеристиками и возможностями. Это позволяет учесть разнородность служебных функций сотрудников организации, а значит, создать терминальную систему, в которой могли бы работать все сотрудники, даже те, кто в силу своих задач не может работать на терминале типа «тонкий клиент».

Можно отказаться от того, чтобы такие сотрудники работали в режиме терминального доступа, однако это заметно снизит эффект от внедрения системы, поскольку использование централизованного ресурса наиболее значимо как раз для тех задач и данных, которые являются общими для сотрудников всех категорий.

Использование в качестве терминального клиента не только специализированных аппаратных терминалов, но и разнообразных средств вычислительной техники (СВТ) — как с высокими, так и с практически отсутствующими характеристиками — позволит избегнуть двух главных проблем, с которыми сталкиваются организации, эксплуатирующие системы терминального доступа, стремящиеся к унификации терминальных клиентов:

  • монопольный поставщик терминалов (с ним может случиться неприятность, или он может начать вести себя не совсем хорошо);
  • постоянные обновления модельного ряда терминалов, чем грешат практически все «бренды» (а в результате либо теряется преимущество унификации, либо внезапно снятую с производства модель необходимо разыскивать чуть ли не «с рук»).

Заметим, что есть производители, грешащие тем, что и терминалы одной модели, абсолютно идентичные по всем параметрам спецификации, оказываются на поверку не имеющими между собой ничего общего (и даже реализованными на разных чипсетах). Однако это уже, как говорится, другая история.

Итак, возможность строить систему на разнородных СВТ — очень существенный плюс. Однако в тени этого плюса скрывается сложность, связанная с тем, что среда исполнения терминального клиента во всех этих случаях (на подлежащих списанию ПЭВМ под Windows ХР, мощных машинах проектировщиков под каким-нибудь специфическим Linux, ноутбуке руководителя с Windows 8, ноутбуках или планшетах агентов или инспекторов — вовсе с гарвардской архитектурой) окажется разной.

Это не проблема, если в терминальной системе не нужно обеспечивать ИБ, так как клиенты ICA и RDP есть практически для любой ОС.

Если же система терминального доступа должна быть защищенной, то контролировать необходимо вычислительную среду всех типов терминальных клиентов, иначе получается классическая дыра в заборе, сводящая на нет его высоту и острые шипы по периметру. Выгода системы терминального доступа в части организации защиты информации связана ведь именно с унификацией предмета защиты — ОС терминального клиента, узкоспециальной, обычно небольшой по объему, а следовательно, легко контролируемой.

Если мы теряем эту особенность, то фактически задача защиты информации сводится к точно такой же, как если бы в системе применялись обыкновенные ПЭВМ, только к их количеству и разнообразию добавляются еще терминальные серверы. Более того, любая система, в которой одно и то же СВТ применяется в нескольких режимах, требует, помимо защищенности в каждом режиме отдельно, еще и доказанного отсутствия взаимовлияния этих режимов.

Стоит ли тогда вообще игра свеч? Безусловно, защита — это только одна сторона дела, и, возможно, не так критично, что теряется выгода именно в ней, ведь остается масса других плюсов, а защита вообще редко связана с выгодой.

Однако есть решение, позволяющее не терять выгоду унификации терминального клиента, но при этом и не терять возможности использовать в этом качестве практически любые СВТ. Такое решение — загрузка на СВТ необходимой (унифицированной, контролируемой) среды только на тот период, когда оно должно работать в качестве терминального клиента.

Естественно, для СВТ разных типов и назначений нужно использовать различные (подходящие к каждому конкретному случаю) способы обеспечения загрузки этой контролируемой среды терминального клиента, но всегда она должна быть организована таким образом, чтобы загружаемая для работы в системе терминального доступа среда не влияла на основную среду СВТ, и наоборот.

В настоящее время на отечественном рынке представлены решения всех необходимых типов. Их можно разделить на группы в соответствии с ключевыми особенностями защищаемого СВТ:

  1. СВТ разных моделей от разных производителей, основная задача которых — работа в терминальной сессии (классические тонкие клиенты);
  2. СВТ — компьютеры различных характеристик, для которых работа в терминальной сессии — эпизодическая задача, а в основном пользователи работают с собственными ресурсами СВТ или с web-системой;
  3. компьютер (ноутбук) руководителя.

Последний тип вполне разумно выносить в отдельную категорию, потому что при всей своей немногочисленности в штатном составе организации, руководители — это не та категория сотрудников, которой можно пренебречь.

Пентесты

Пентесты — да, но, пожалуйста, делайте это правильно!Пентесты — да, но, пожалуйста, делайте это правильно!

Тестирование на проникновение важно, но делает ли оно то, что должно? Без тщательного планирования и профессиональной реализации некачественные пентесты приводят к появлению необнаруженных уязвимостей и подвергают компании ненужным возможностям для

Информационное общество и кибербезопасностьИнформационное общество и кибербезопасность

Средства информационного обмена постоянно развиваются и совершенствуются, благодаря чему наш мир пронизывают все более тесные взаимосвязи. Информатизация общества берет начало во второй половине XX в., и уже к началу XXI

Межсетевой экран PIXМежсетевой экран PIX

Межсетевой экран (МЭ) Cisco Private Internet Exchange (PIX) осуществляет современный уровень безопасности в купе с легким применением в корпоративных сетях. Секрет, данного МЭ, заключается в особой схеме защиты, основанной на