При всех плюсах удаленной работы, которые очевидны для сотрудника, у его коллег, отвечающих за информационную безопасность, возникает резонный вопрос — с чем и как будет работать такой сотрудник вне стен офиса? Как обеспечить безопасность и сохранность данных, с которыми он работает в силу своих бизнес-задач? Насколько серьезно он подошел к задаче обеспечения безопасности своих мобильных устройств или домашнего компьютера?
Идеальный вариант со многих точек зрения — это предоставление пользователю стерильной рабочей среды, созданной не самим пользователем, а ИТ-службой. Такая среда содержит те и только те бизнес-инструменты, которые необходимы пользователю для его задач — от полноценной windows-среды в форме виртуальной машины (рабочего стола) до отдельного
опубликованного приложения, доступ к которым пользователь получает через терминальную сессию.
Одним из преимуществ виртуализации является то, что пользователь может получить защищенный доступ к корпоративной среде с помощью любого типа компьютеров и персональных устройств — тонкий клиент, лэптоп, планшет, смартфон. Все, что нужно сотруднику, — это клиент для удаленного доступа по протоколу RDP или ICA (например, Citrix Receiver), или же в качестве терминального клиента может использоваться любой веб-браузер, поддерживающий HTML5.
Недостатки — риски потери контроля за корпоративными данными, попавшими в личную зону пользователя. Сама по себе терминальная среда ограничивает доступ пользователей к данным на серверах, сужая доступ к ним до уровня, необходимого для выполнения поставленных задач. Но при этом нет никакой гарантии, что эти данные могут быть перенесены из терминальной сессии на личное устройство, где могут быть использованы не по назначению.
Внесение элементов безопасности и предотвращения утечек данных в описанный выше сценарий, теоретически возможно, однако практически либо не реализуемо вообще, либо реализуемо с огромными усилиями как организационного, так и технического характера. Следует учитывать сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие гарантий предоставления личного устройства службе ИТ, избыточная уязвимость самих решений и т. д.
В данной ситуации оптимальным является решение класса DLP, устанавливаемое на стороне терминального сервера, а не клиента. DLP-комплекс DeviceLock Endpoint DLP Suite призван расширить возможности службы ИБ по созданию изолированной защищенной рабочей среды, а именно решить задачу предотвращения утечек данных при использовании различных решений для виртуализации рабочих сред. DLP-политики для виртуальных сред в DeviceLock обеспечивают контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие компьютеры периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными, а также централизованное журналирование действий пользователя и теневое копирование переданных ими файлов и данных.
Рассмотрим типовой сценарий: сотруднику, работающему удаленно с помощью лэптопа или планшета, предоставляется терминальный доступ к корпоративной рабочей среде, организованной в виде опубликованного бизнес-приложения. В целях повышения производительности и эффективности работы пользователя, на его компьютере локально подключаемые периферийные устройства и буфер обмена перенаправляются в терминальную сессию. В частности, это объясняется необходимостью печати доступных через терминальную сессию документов на локально подключенном принтере, а также возможности копировать и вставлять данные через буфер обмена из бизнес-приложения, с которым пользователь работает в терминальной сессии, или в него.
DLP-политики позволяют передавать между двумя средами только необходимые для сотрудников бизнес-данные.
При этом предполагается, что содержимое документа (или данных), передаваемых через перенаправленные устройства или буфер обмена данными вовне терминальной сессии, полностью соответствует корпоративной политике безопасности и не содержит недопустимых для утечки данных (т. е. нарушающих корпоративную политику безопасности или иные регулирующие правительственные и отраслевые нормы).
В условиях перенаправления локальных периферийных устройств и буфера обмена на терминальный сервер, доступ к которым пользователь получает через терминальную сессию, DeviceLock, установленный на виртуальной машине, осуществляет их перехват в режиме реального времени. Производится проверка возможности использования перенаправленных локальных устройств и специфических операций с данными, а так же анализируется содержимое данных на предмет их соответствия DLP-политикам. В случае выявления нарушения заданных DLP-политик операция передачи данных прерывается, при этом создается соответствующая запись в журнале аудита и теневая копия данных, которые пользователь пытался передать в терминальной сессии, а также создается тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов ИБ.
Таким образом, при наличии заданных DLP-политик, DeviceLock гарантирует их передачу строго в пределах границ виртуальной терминальной среды (терминальной сессии). И конфиденциальные данные, утечка которых недопустима, не попадают на личную часть персонального устройства будь то тонкий клиент, домашний компьютер или мобильное устройство. При этом они остаются доступными для эффективного выполнения бизнес-задач.
Благодаря использованию DeviceLock Endpoint DLP Suite обеспечивается полный контроль разнообразных моделей применения решений виртуализации (BYOD, home office, облачные корпоративные сервера). Такие модели могут быть построены на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей. Кроме того, службы ИБ могут отслеживать, проверять и сортировать обмен данными между защищенной рабочей средой и персональным устройством, а также подключенными к нему периферийными устройствами и буфером обмена. Это особенно важно, учитывая, что эти каналы передачи данных вне корпоративных границ становятся небезопасными и должны рассматриваться как угроза корпоративной информационной безопасности. При этом немаловажным является отсутствие временных затрат на менеджмент и контроль персональных устройств, благодаря чему сценарий предоставления терминального доступа к корпоративным ресурсам, защищенного с помощью DLP-технологий, может стать очень популярным.
Сергей Вахонин,
Директор по ИТ
DeviceLock, Inc.
БАКОТЕК Value Added
IT дистрибуция — официальный дистрибьютор DeviceLock в Украине
Тел./факс: +38044 273-3333
E-mail: DeviceLock@bakotech.com
www.bakotech.ua
