Признание потребителей связано, прежде всего, с высоким уровнем обслуживания и качества услуг. Ассортимент магазинов позволяет удовлетворить потребности населения с разным уровнем дохода. Так, в торговых точках обустроены специализированные отделы по обслуживанию пенсионеров.
Постановка задачи
На старте проекта информационная система «Таврия В» представляла собой сетевую инфраструктуру, построенную на решениях с открытым исходным кодом. Однако из-за быстрого развития компании управлять сетевой инфраструктурой, каналами связи между отдельными филиалами становилось всё сложнее и сложнее. Поэтому руководство начало поиск решения, которое обладало бы достаточным потенциалом масштабирования, прозрачными средствами мониторинга всей сетевой инфраструктуры и простотой управления.
Первоначальная задача предполагала создание отказоустойчивого и безопасного транспорта между филиалами по шифрованным каналам связи. Однако со временем шлюзы Check Point взяли на себя все функции межсетевого контроля. Учитывая простоту управления данным решением даже в рамках достаточно большой инфраструктуры, переход состоялся плавно и бесшовно.
В результате реорганизации была создана инфраструктура межсетевых экранов, основанная на продуктах одного вендора (Check Point). Несмотря на географическую разрозненность объектов, все они управлялись из одной точки. Для всех межсетевых экранов применялась единая база пользователей и объектов, общая система журналирования событий безопасности и создания отчётности новая инфраструктура компании стала более управляемой и прозрачной.
Для создания единой базы пользователей и централизованного управления их правами на рабочих станциях в компании была развернута служба каталогов Microsoft Active Directory.
Кроме системы межсетевых экранов специалисты ProNET внедрили средства контент-фильтрации почтового и веб-трафика – SafeNet eSafe. Внутренние персональные компьютеры пользователей сети защитили системой Check Point Endpoint Security, которая в скором времени была интегрирована с другими используемыми системами Check Point. В результате заказчик получил целостную картину событий в сети, которая использовалась для их дальнейшего анализа и корреляции.
Виртуальный рабочий стол
С помощью технологии Check Point Mobile Access пользователь получает не просто удалённый доступ к корпоративным ресурсам, но и возможность безопасной работы в пределах контейнера Check Point SecureWorkspace, изолированного от основной рабочей станции. Эта технология (так называемого «виртуального рабочего стола») создает изолированную область — шифрованный контейнер, в котором пользователь может безопасно работать. При этом неважно, с какого компьютера пользователь подключается к информационным ресурсам компании.
После завершения сеанса работы используемый шифрованный контейнер удаляется с рабочей станции.
Технические особенности проекта
Решение Check Point Global Office представляет собой дальнейшее развитие идеи «виртуального рабочего стола». В дополнение к вышеописанному функционалу, Check Point GO позволяет сотруднику компании безопасно работать за «чужим» компьютером не только в online-, но и offline-режиме. Внешне продукт Check Point GO похож на обычный USB-накопитель, который пользователь подключает к любому компьютеру, после чего получает доступ к безопасному «виртуальному рабочему столу».
Решение имеет встроенные средства для подключения к корпоративной сети: по шифрованному туннелю VPN пользователь сможет получить безопасный доступ к корпоративному порталу, файловым хранилищам, своему удалённому рабочему столу. Также существует возможность маршрутизировать весь трафик работника через шлюз компании, что полезно при работе с веб-банкингом, веб-платежами и даже посещении страниц в социальных сетях. В случае если используемый компьютер и/или сеть скомпрометированы, блокируется возможность перехвата аутентификационных данных пользователя или перенаправления его на ложный сайт.
Check Point GO также обеспечивает возможность работы с установленными на компьютере приложениями. Как и в Check Point Mobile Access, доступ к ним осуществляется не напрямую, а через «песочницу», т.е. отсутствует прямой контакт информации пользователя с приложением. Работа ведется только с неизменёнными доверенными приложениями, которые перед запуском проверяются на соответствие с помощью хэширования. Благодаря такому подходу не допускается возможность утечки данных через зараженные либо уязвимые приложения.
Портированные версии программ позволяют работать исключительно в границах шифрованного хранилища Check Point GO, следовательно, во время сеанса работы любые данные будут оставаться в хранилище и защищенной виртуальной области. Кроме того, есть возможность централизованно (с помощью специального предустановленного каталога приложений) установить дополнительные приложения из репозитария компании. За наполнение последнего отвечает системный администратор, который централизованно обновляет существующие приложения и добавляет новые (удовлетворяющие политику безопасности компании).
Пользователь получает доступ к накопителю Check Point после предварительной проверки компьютера на наличие следящего ПО (keyloger и прочих шпионских утилит) и введения пароля. Затем вычисляется hash пароля встроенным в устройство крипто-процессором, что напоминает работу token’ов двухфакторной аутентификации (RSA Security, SafeNet eToken, Vasco и др.). Безопасность хранимого пароля достигается аппаратными средствами, потому похитить его, даже имея физический доступ к самому устройству, невозможно. После успешной аутентификации запускается программная часть (тот самый защищенный виртуальный контейнер, на базе которого и функционирует «виртуальный стол»), через которую происходит работа с находящимся на устройстве шифрованным контейнером. Никакие данные (ни пароль, ни документы, ни даже установленные на устройстве портированные приложения) не появляются в открытом виде на компьютере.
Для удобства работы пользователю предоставляется функционал по безопасному экспорту/импорту документов с хранилища устройства на компьютер и наоборот. При этом все управление – смена прав пользователя на импорт/экспорт документов, установка приложений, логирование действий пользователя и изменение учетных данных пользователя для построения VPN-туннелей – происходит централизованно.
Внедрение CheckPoint GO решило задачу безопасного хранения и доступа к конфиденциальным данным, которые находятся у пользователей локально и которые ранее могли передаваться в отрытом виде на обычных «флешках».
После тестирования продуктов Check Point GO руководство «Таврия В» приняло решение расширить сферу их применения для всех ИТ-администраторов. Возможность надежного, защищенного хранения необходимых конфигурационных файлов, схем и различных документов позволила им стать более мобильными, оперативно и качественно выполнять свою повседневную работу с любой рабочей станции.
Этапы внедрения
Проект по переходу на Check Point GO реализовывался в два этапа. На первом осуществлялась предварительная настройка политик безопасности и определение доступных приложений. Так как ранее в компании «Таврия В» пользователи уже активно применяли удалённый доступ, то введение данного функционала состоялось быстро. Актуализация политик безопасности и программного обеспечения, которое должно было предоставляться центральным репозитарием, заняла меньше рабочей недели
Итоги проекта
В первую очередь, для сотрудников существенно упростился доступ к корпоративным ресурсам. Во-вторых, удалось обеспечить безопасность при работе с информацией, находящейся у пользователя.
Простота и оперативность процесса внедрения за счет интуитивно-понятного интерфейса, минимум затрат, а также то, что львиная доля работ по предварительной настройке устройств скрыта от конечных пользователей, сделали Check Point Go мощным инструментом для удобной и безопасной работы пользователей «Таврии В».
