Удалённая работа, или То, о чём ещё не говорили
<p>Экспертная статья Дениса Суховея, руководителя департамента развития технологий "Аладдин Р.Д.", Владимира Бычека, директора по продуктам JMS и JAS компании "Аладдин Р.Д.", и Дмитрия Шуралёва, технического специалиста по работе с технологическими партнёрами компании "Аладдин Р.Д."</p>
Удалённая работа сотрудников уже далеко не новое явление и давно практикуется множеством компаний, особенно из сферы ИТ. Однако сложившиеся обстоятельства ставят компании из самых разных областей деятельности перед непростым выбором – закрыться на время и нести огромные убытки или очень оперативно перевести как можно большую часть своих сотрудников на удалённую работу и продолжать деятельность в изменившихся условиях.
Для полноценной удалённой работы необходимо обеспечить, прежде всего, безопасный доступ к используемым корпоративным информационным системам и данным, а также безопасность самих корпоративных данных, покидающих защищённый периметр организации.
На практике необходимо выполнить два шага:
- обеспечить прямой доступ к удалённым рабочим местам и приложениям через шлюзы инфраструктуры виртуальных рабочих мест (VDI) или доступ к корпоративным сетям через виртуальные частные сети (VPN), при этом и тот и другой сценарий обязательно реализовывать с использованием строгой или усиленной аутентификации пользователей;
- выполнять шифрование корпоративных данных на компьютерах, служебных или домашних, находящихся вне защищённого периметра организации и на которые не действуют корпоративные политики.
Рассмотрим подробнее, как реализовать эти шаги.
1. Реализация VPN и строгой аутентификации в VPN, шлюзах, удаленных рабочих местах (с использованием ключевых носителей для организаций с уже внедренной инфраструктурой PKI и имеющих какой-то парк ключевых носителей и опыт работы с ними)
По большому счёту решения по удалённому доступу сейчас можно разделить на два подвида. Первые – это классические VPN-решения, построенные, например, на продуктах от Microsoft или открытых (opensource) решениях, а также решения, совмещенные с мощными аппаратными межсетевыми экранами от ведущих вендоров сетевой безопасности (Cisco, PaloAlto, CheckPoint, Juniper и др.). То есть когда пользователь из дома, кафе, находясь в командировке или любом другом месте, с помощью любого интернет-соединения строит виртуальный туннель в сеть своей компании, таким образом получая возможность использовать разрозненный набор ресурсов из внутренней сети. В том числе и удалённые рабочие столы, физические или виртуальные.
Другой вариант – VDI-инфраструктуры, когда рабочие места в виде удалённых рабочих столов и отдельных приложений заранее виртуализированы, а пользователь получает на своё устройство (тонкий клиент, ноутбук, планшет) только графическую отрисовку вычислений на сервере. Прямое подключение и единый вход обеспечивают VDI-шлюзы, наиболее популярными реализациями которых в России являются Citrix ADC (Application Delivery Controller), VMware UAG (Unified Access Gateway), Huawei vAG (Virtual Access Gateway) и RDG (Remote Desktop Gateway) от Microsoft.
В обоих случаях для обеспечения должного уровня безопасности требуется применение многофакторной аутентификации. Только варианты с использованием многофакторной аутентификации могут защитить аккаунты сотрудников от компрометации их учётных данных, несанкционированного доступа к важной корпоративной информации и её нецелевого применения.
Многофакторную аутентификацию можно разделить на строгую и усиленную. Усиленная аутентификация основана на использовании одноразовых паролей в дополнение к классической паре логин/пароль, речь о которой пойдёт чуть позже. А сейчас рассмотрим вариант строгой аутентификации, которая основана на инфраструктуре открытых ключей (PKI, от англ. Public Key Infrastructure). Основа PKI, как понятно из названия, это открытый ключ. Точнее, сертификат открытого ключа, в котором он передаётся. Сертификаты выдаёт аккредитованный Удостоверяющий центр (УЦ), например, это может быть ваш собственный УЦ как реализация Microsoft Certification Authority. Также Удостоверяющий центр подтверждает, что закрытый ключ известен только владельцу этого ключа. Единственный правильный и безопасный метод хранения закрытого ключа и сертификата – это отчуждаемый ключевой носитель с защищённой памятью. Специализированный смарт-карточный чип надёжно защищает ключ от модификации, извлечения и клонирования. Такими ключевыми носителями являются устройства линейки JaCarta от "Аладдин Р.Д.". При выборе ключевого носителя важно обращать на это внимание, поскольку не все устройства на рынке выполняются на специализированных смарт-карточных чипах. Сами устройства поставляются в двух форм-факторах – USB-токен и смарт-карта. Технически, внутренне, это одинаковые устройства, главное отличие заключается в том, что USB-токен – составное устройство, проще говоря, смарт-карта в корпусе со встроенным USB-коннектором. В случае с классической смарт-картой для работы требуется ещё и смарт-картридер, который может быть встроен в клавиатуру, корпус компьютера или отдельно стоять на столе. В этом вопросе сложно дать рекомендацию – дело вкуса и привычки. Смарт-карту, например, удобно носить в бумажнике, а токен – как брелок на ключах. И USB-токен, и смарт-карты имеют возможности для кастомизации, нанесения логотипов и фото сотрудников, имплементации RFID-меток. Для совмещения на одном устройстве возможности доступа в офис и к сетевым ресурсам на смарт-карты может быть записано даже платёжное приложение от VISA, Master Card или МИР.
По статистике, более чем в 80% инцидентов информационной безопасности использовались слабые или украденные пароли. В связи с этим внедрение двухфакторной аутентификации значительно повышает уровень общей защищённости ресурсов компании, позволяет практически до нуля снизить риск кражи или подбора пароля, а также гарантировать, что общение происходит именно с реальным пользователем. Внедрение инфраструктуры PKI позволяет полностью избавиться от паролей. Такая аутентификация работает следующим образом – пользователь запрашивает некоторый сервис, предъявляя сертификат открытого ключа и вводя PIN-код для предоставления закрытого ключа, для реализации криптографических преобразований, после проверки которых и происходит успешное получение доступа либо отказ в обслуживании. Потерять токен не страшно, он защищён ещё и от попыток подбора PIN-кода, после нескольких неудачных попыток он просто заблокируется. А получить сертификат на новый ключевой носитель можно даже удаленно, с использованием специального комплекса JaCarta Management System (JMS).
С точки зрения интерфейса пользователя такая схема даже более проста, чем ввод логина и пароля, потому как сложный пароль теперь не нужно запоминать, пароль не нужно менять раз в 90 дней. Вообще частая смена пароля уже не входит в "лучшие практики", но, тем не менее, пока ещё широко используется. Больше не нужно клеить стикеры под клавиатуру или экран монитора в нарушение всевозможных политик безопасности. Пользователю достаточно просто придумать не очень сложный PIN-код и использовать его для доступа вместе с токеном или смарт-картой.
2. Реализация VPN и строгой аутентификации в VPN, шлюзах, удалённых рабочих местах (с использованием усиленной двухфакторной аутентификации для организаций, не использующих PKI и не готовых к переходу на PKI)
Рассмотрим распространенную ситуацию. Компания не имеет в достаточном количестве ключевых носителей (КН) для аутентификации в VPN и целевых системах (например, RDP к рабочей станции внутри защищённого периметра). Доставка дополнительных КН затруднена действующим режимом самоизоляции. Настройка удалённого доступа даже при наличии самых подробных инструкций для большинства пользователей-неайтишников дело непростое:
- возможности администраторов в оказании поддержки ограничены;
- домашние компьютеры, которые приходится задействовать, крайне разнообразны и в части аппаратной платформы, и с точки зрения установленного системного и прикладного ПО;
- познания большинства пользователей ограничены небольшим набором прикладных программ, используемых ими на работе и в быту.
Хорошим вариантом в подобных ситуациях может оказаться использование усиленной двухфакторной аутентификации (2FA). В качестве второго фактора аутентификации в подобных сценариях выступает одноразовый пароль (OTP), генерируемый мобильным приложением (Google Authenticator, MS Authenticator, Яндекс Ключ etc.) или SMS. Уступая строгой аутентификации с использованием КН в надежности, усиленная аутентификация тем не менее:
- существенно надежнее любой парольной защиты;
- не требует КН – в качестве второго фактора аутентификации может выступать как смартфон, так и самый обычный олдскульный кнопочный телефон (SMS);
- не зависит от компьютеров, в связке с которыми работает;
- предельно проста для пользователя, не требует никаких сложных настроек, максимум – фотографирование смартфоном QR-кода, полученного по e-mail или иным способом;
- благодаря встроенной поддержке стандартных протоколов интеграции (RADIUS, ADFS etc.) легко интегрируется с большинством VPN-концентраторов и шлюзов удаленного доступа.
Всеми вышеперечисленными преимуществами обладает автономный сервер аутентификации (2FA) JaCarta Authentication Server (JAS), разработанный компанией "Аладдин Р.Д.". В дополнение к ним:
- обладая разветвленной партнёрской сетью и задействуя компетенции, в том числе региональных партнёров, "Аладдин Р.Д." обеспечивает оперативную интеграцию JAS в целевые системы заказчиков и оперативную техническую поддержку на протяжении всего жизненного цикла системы;
- интеграция JAS в платформу управления жизненным циклом КН, средств аутентификации и электронной подписи JaCarta Management System (JMS) позволяет полностью автоматизировать процессы управления аутентификаторами JAS для систем масштаба предприятия.
3. Защита корпоративных данных на ПК
Рабочее место сотрудника, функционирующего из дома, – понятие достаточно размытое. В условиях стремительного перехода компаний на дистанционную работу это понятие и вовсе стало неопределенным. Кто как смог, так и организовал работу на дому для большей части персонала. В любом случае множество сценариев "удалёнки" укладывается в использование двух устоявшихся типов рабочих мест:
- корпоративный ноутбук, выданный сотруднику в офисе;
- домашний компьютер, более или менее адаптированный для выполнения офисных задач.
Важно отметить, что угрозы информационной безопасности возникают при использовании обоих типов рабочих мест, при этом каждый имеет свою специфику.
1. Кража или утеря ноутбука при транспортировке
Использование корпоративного ноутбука за пределами контролируемой зоны организации сопряжено в первую очередь с угрозами физической безопасности. Случаи утери ноутбука в общественном транспорте, кражи из личного автомобиля и т. п. повсеместны и давно стали обыденностью. Если такой ноутбук попадет в руки злоумышленника, служебная, конфиденциальная или критичная информация будет скомпрометирована. Данный вид инцидентов наиболее часто фигурирует в резонансных утечках, попадающих в новостные ленты.
2. Работа ноутбука в недоверенной среде
Не менее важной проблемой информационной безопасности является подключение ноутбука к домашней сети. Высока вероятность, что роутер или точка доступа домашней сети скомпрометированы. Подключение к взломанной точке доступа может привести к попыткам сканирования и эксплуатации уязвимостей на корпоративном ноутбуке и далее – к попыткам взлома корпоративных ИТ-ресурсов, с которыми работает сотрудник из дома.
3. Проблемы безопасности домашних компьютеров
Используемый для работы домашний компьютер с высокой степенью вероятности был заражён вирусом, трояном или ботом в прошлом. Конфиденциальная информация с такого рабочего места будет "тихо" утекать без возможности выявления и расследования подобного инцидента. На подавляющем большинстве домашних компьютеров нет подходящих средств защиты конфиденциальной информации, которые позволяют разделить рабочую и личную области хранения и обработки документов. Также отсутствуют соответствующие средства контроля доступа к обрабатываемой информации.
4. Использование USB-флеш для переноса документов
Само по себе использование флешек представляет отдельный набор проблем информационной безопасности:
- флешку очень легко потерять вместе с конфиденциальной информацией;
- доступ к файлам на утерянной флешке очень легко получить злоумышленнику любой квалификации;
- надёжно удалить информацию с накопителя достаточно сложно для рядового пользователя. Даже при форматировании флешки данные легко восстанавливаются квалифицированным специалистом;
- контролировать использование и передачу накопителей между сотрудниками вне офиса достаточно сложно.
Все эти проблемы значительно повышают риски утечки конфиденциальной информации. Однако многие организации не могут отказаться от использования USB-накопителей без ущерба рабочим процессам.
5. Обмен файлами с использованием публичных сервисов
Большинство рабочих процессов подразумевает активный информационный обмен. В условиях дистанционной работы сотрудникам весьма удобно обмениваться файлами или архивированными наборами файлов. В большинстве случаев используется e-mail или доступное множество файлообменных сервисов. Информация при этом не защищается, проконтролировать доступ к ней при таком обмене очень сложно. Риски утечки конфиденциальной информации существенно повышаются.
Для решения подобного множества проблем нужен инструмент, позволяющий, с одной стороны, адекватно защитить конфиденциальную информацию, с другой – обеспечить надёжный контроль доступа к защищённой информации. При этом такое средство должно учитывать все нюансы и специфичные угрозы, возникающие "на удалёнке". Дополнительным требованием является обязательная простота используемых продуктов в установке, настройке и применении.
Таким решением является Программный комплекс Secret Disk – специализированное решение, обеспечивающее предотвращение утечек конфиденциальной информации при работе на корпоративном ноутбуке или домашней рабочей станции. Функционал решения достаточно обширен, остановимся на самом важном.
Шифрование системного раздела (FDE), при котором злоумышленник не сможет загрузить компьютер без прохождения обязательной двухфакторной аутентификации. Физический доступ к диску с системным разделом также не повышает риски, потому что информация на нем будет надежно защищена методом шифрования. При этом работа системы защиты для авторизованного пользователя не накладывает каких-либо ограничений и совершенно прозрачна.
Шифрование папок и файлов, которое позволяет создать отдельную защищенную область хранения и обработки конфиденциальной информации. Доступ к такой информации будет осуществлять только авторизованный пользователь. У остальных пользователей, включая ИТ-администратора, доступа к зашифрованной информации нет. Таким образом, проблема разделения рабочей и личной областей на домашнем компьютере решается без дополнительных ограничений для остальных пользователей.
Контроль использования USB-носителей, позволяющий разрешить копирование защищаемой (значит важной/конфиденциальной) информации, только для авторизованных пользователей. При копировании вся информация, попадающая на USB-носитель, будет зашифрована, с возможностью чтения только авторизованным пользователем и только на определенной рабочей станции. Данная функция позволяет организации не отказываться от использования флешек, при этом обеспечивает надежную защиту информации.
Криптоконтейнеры – функция, позволяющая поместить один или несколько файлов в специальный защищенный файл-контейнер и передать его другому сотруднику или контрагенту, используя e-mail или любой публичный сервис. Обмен будет произведен без риска компрометации конфиденциальной информации в случае перехвата контейнера при передаче. Такой способ не потребует обязательного использования Secret Disk на компьютере получателя, достаточно будет установить компактную утилиту и получить от отправителя пароль к контейнеру.
Отличительной особенностью Secret Disk является обязательная двухфакторная аутентификация, обеспечивающая надёжный контроль доступа к защищённым данным. Система работает в связке с рядом токенов и смарт-карт, разработанных "Аладдин Р.Д." и другими производителями.
Необходимость удалённой работы сотрудников большинства организаций выявляет определенные проблемные зоны, которые у каждой отдельно взятой организации могут быть свои. Стремительное развитие эпидемиологической ситуации застало врасплох многие компании, большинство попросту не были к этому готовы – ни морально, ни технически. В связи с этим многие ИТ-компании проводят обучение, разъяснения, попросту консультирование во имя одной общей цели.
Обеспечение безопасности и целостности служебной информации достигается путём совместного использования нескольких решений. Такая связка высокотехнологических решений, предлагаемая "Аладдин Р.Д.", позволяет обеспечить соблюдение мер безопасности с разных технических ракурсов. Пользователям остается лишь следовать инструкциям, что уже относится к разряду организационных мер, проводимых работодателями.