Виртуальная Степень Свободы

Мир изменился.

Еще несколько лет назад работа в компании обязательно подразумевала наличие рабочего места в уютном офисе: стол с компьютером и фотографией любимой собаки, утренние встречи с коллегами за кофе-машиной и все остальные атрибуты присутствия.

на территории работодателя.

При этом для решения большинства задач было достаточно компьютера и подключения к корпоративной сети.

В современном мире доля таких задач приближается к ста процентам.

Появились надежные и высокоскоростные каналы связи.

Ноутбуки стали во много раз мощнее офисных компьютеров пятилетней давности.

Смартфоны обладают большей вычислительной мощностью, чем суперкомпьютеры, которые использовались для расчета траекторий первых космических полетов.

Мир стал более мобильным, гораздо более мобильным, чем может показаться на первый взгляд. Появилась и стремительно развивается новая ниша квалифицированной рабочей силы – фрилансеры и консультанты.

Многие направления деятельности крупнейших корпораций мира переданы на аутсорсинг; задачи выполняются удаленными консультантами, не входящими в штат компании и работающими над конкретным проектом.

Это позволяет гибко планировать ресурсы для конечных задач и существенно минимизировать затраты.

Глобализация также оставила свой след на внутренних процессах крупных предприятий.

Появились так называемые «виртуальные команды»: группы людей, работающих над одним проектом из разных филиалов компании.

Возможно, они никогда не встречались лично, но хорошо работают вместе и демонстрируют отличную производительность.

Сотрудникам, которые постоянно находятся в движении, исторически приходилось преодолевать множество проблем, связанных с большими расстояниями от их домашней компании.

Поначалу все общение сводилось к долгим телефонным разговорам с огромными счетами за роуминг.

Затем появился нестабильный и крайне дорогой GPRS-роуминг.

Затем началась эра Wi-Fi в отелях и бизнес-центрах.

Теперь, с появлением и распространением мобильных сетей третьего и четвертого поколения, вы можете устанавливать прямые сеансы видеосвязи со своими коллегами прямо со своего мобильного телефона.

Крупные мегаполисы характеризуются не только высокими зарплатами, но и высокими ценами на жилье и постоянными пробками.

Я знаю людей, которые каждый день тратили два с половиной часа на дорогу до работы.

И потом столько же на обратном пути.

Подумать только – пять часов в день в дороге.

Это почти треть всего времени бодрствования, а значит почти треть жизни! После столь долгого пути сотрудник приходит на работу уже уставшим, а это значит, что о максимальной отдаче можно забыть.

С моей точки зрения, нет смысла тратить на дорогу больше часа в одну сторону.

Если дорога займет больше времени, то вам нужно либо искать подходящее жилье рядом с офисом компании, либо переходить на удаленную работу.

Итак, возможностей современных информационных сетей достаточно для комфортной работы за пределами предприятия.

Причины использования удаленных подключений я изложил выше.

Каковы недостатки?

Все сводится к безопасности.

В офисе сотрудник использует корпоративные ресурсы, находясь внутри корпоративной сети.

Доступ третьих лиц к информации исключен.

Все видят, что сотрудник работает над поставленными задачами и результаты работы плюс полученные знания не утекают за пределы компании.

Существует четкая связь между вложением средств и полученной прибылью.

При этом все возможные риски сведены к минимуму.

При удаленной работе сотрудник обычно показывает лучшие результаты работы.

Это связано с комфортной обстановкой, отсутствием стрессов по дороге на работу, свободным графиком и любимым кактусом возле монитора.

Задачи легче планировать, никто не отвлекается по мелочам, а при необходимости можно работать допоздна.

Идеальная рабочая среда для разработчиков, администраторов и дизайнеров.

Таким сотрудникам предприятие должно предоставить доступ к корпоративным ресурсам наравне с «местными» коллегами.

Все передаваемые данные должны быть защищены от перехвата и изменения.

Важно убедиться, что человек, с которым заключается трудовой договор, работает над поставленной задачей.

Широко известна история о высокопоставленном сотруднике отдела безопасности американской компании, который делегировал большую часть своих задач удаленным консультантам из Китая и при этом не делал ничего полезного, покупая на интернет-аукционах различные вещи с разницей между его зарплатой и оплатой работы консультантов.

Несмотря на очевидную оптимизацию расходов, компания понесла существенный ущерб в виде доступа к конфиденциальным данным третьих лиц.

Риски такого типа устраняются на уровне проверки сотрудника перед предоставлением доступа, поскольку не существует надежных технических решений по предотвращению подобных ситуаций, если сам сотрудник заинтересован в предоставлении доступа третьим лицам.

Исключив умышленный «саботаж» со стороны сотрудника, можно выделить следующие риски при предоставлении удаленного доступа: • Поставщик широкополосного доступа в Интернет может перехватывать данные, передаваемые сотрудником компании.

Угроза снижается за счет использования безопасных соединений на основе VPN. • Система входа в корпоративную сеть через защищенное соединение находится за пределами компетенции системных администраторов предприятия.

Сотрудник может подключиться с домашнего компьютера, который имеет высокую вероятность заражения вирусами, которые могут получить доступ к корпоративным ресурсам через защищенное соединение.

Угроза устраняется за счет предоставления сотруднику сертифицированного ноутбука с предустановленными программами для удаленного доступа и строгой политикой безопасности, ведением журналов активности на стороне сервера.

• Соединение вашего провайдера широкополосного интернета может быть временно недоступно из-за сбоев, ошибок маршрутизации, планового обслуживания и т.п.

Проблему можно решить, организовав резервные соединения с другими провайдерами, возможно, с мобильными операторами через 3G/LTE-модемы.

Если следовать этим рекомендациям, можно с уверенностью говорить об успешном использовании удаленных рабочих мест.

Дорожные воины

Подключение к офису осуществляется с определенных сетевых адресов и с сертифицированного оборудования.

Все под контролем! Для определенной категории сотрудников необходим удаленный доступ из самых разных мест. Речь идет о «воинах дороги», или «Воинах дорог» в устоявшейся терминологии.

Это сотрудники отделов продаж, внедрения, поддержки, а также руководство компании.

Каждому необходим качественный и безопасный доступ к информации в корпоративной сети.

Точкой входа может быть любое устройство с доступом в Интернет: смартфон, ноутбук и даже чужой компьютер! Вполне реальная ситуация, когда представитель компании на крупной IT-выставке бегает с одной важной встречи на другую и вдруг понимает, что документы для встречи находятся на сервере компании, а ноутбук разряжен, а принтера поблизости нет. Благодаря грамотно реализованной системе удаленного доступа, подключиться к корпоративному порталу и скачать необходимые документы можно даже в ближайшем интернет-кафе.

При этом риски компрометации параметров доступа и самих данных будут сведены к минимуму.

Риски при обеспечении подъезда дорожным «воинам» значительно выше.

Это необходимо учитывать при планировании и развертывании инфраструктуры доступа.

Гастарбайтеры

Этот тип доступа отличается от других очень строгим перечнем ресурсов, предоставляемых в корпоративной сети, обязательными сроками действия, протоколированием подключений и активности пользователей.

Несмотря на подписанное соглашение о неразглашении (NDA), риски утечки данных при гостевом доступе значительны.

Желательно фильтровать гостевые подключения по IP-адресу гостя; обычно диапазон доверенных адресов указывается в соглашении об обслуживании.

Также крайне важно автоматизировать отключение доступа в рамках истекших соглашений.

Помню один случай, когда сотрудник техподдержки крупной компании в течение нескольких лет использовал гостевой доступ к клиенту для отправки писем с почтового сервера клиента.

Технические решения

Все они в той или иной степени используют три основных действия: идентификацию, авторизацию и шифрование.

Идентификация — это «узнавание» пользователя.

Идентификация может быть осуществлена с использованием комбинации имени и пароля, с использованием одноразовых паролей (One-Time-Password — OTP), с использованием цифрового сертификата, с использованием IP- или MAC-адреса или с использованием биометрических параметров, таких как отпечаток пальца или рисунок сетчатки глаза.

Цена ошибочной идентификации чрезвычайно высока.

Авторизация — это назначение прав доступа для идентифицированного пользователя.

Хорошей практикой является ограничение прав пользователя по принципу «запрещено все, кроме», при котором все необходимые для пользователя доступы явно оговариваются.

Стоимость ложной авторизации ниже, чем стоимость ложной идентификации, но столь же значительна.

Очень распространенной ошибкой является предоставление пользователю большего доступа, чем требуется для выполнения его обязанностей.

Шифрование — это процесс сокрытия передаваемой информации от посторонних глаз с обязательным контролем целостности данных.

В настоящее время наиболее распространенным шифрованием передаваемых данных является симметричный сеансовый ключ, уникальный для каждого сеанса обмена информацией.

Рассмотрим подробнее наиболее распространенные реализации упомянутых действий.

Экзотические методы биометрической идентификации мы пока рассматривать не будем, поскольку они больше подходят для контроля физического доступа, чем для удаленного доступа.

Комбинация имени пользователя и пароля — самый простой и наименее безопасный способ идентификации пользователя.

Имя пользователя и пароль сравнительно легко могут быть прочитаны с клавиатуры специальными вредоносными программами, называемыми «кейлоггерами», которые входят в состав многих вирусов.

Если имя пользователя и пароль хранятся на компьютере пользователя, то те же вирусы способны извлечь эти данные и отправить их злоумышленнику для расшифровки.

Получить комбинацию имени пользователя и пароля можно также с помощью социальной инженерии, отправив жертве специальное письмо с просьбой прислать секретные данные якобы для проверки или устранения проблемы с доступом.

Некоторые пользователи склонны не полагаться на свою память и записывают пароли на бумажках, а затем прикрепляют их к стене или монитору.

В этом виноваты даже военные службы! В 2012 году был скандал с фотографией английского принца Уильяма на вертолетной базе, где служил наследник британской короны.

Там, на информационном табло, лежала бумажка с параметрами доступа к закрытой военной сети.

После инцидента военным пришлось сменить пароли по всей стране и пересмотреть методы идентификации.

Безопасность аутентификации по паролю можно значительно повысить за счет использования одноразовых паролей.

Одноразовый пароль запрашивается непосредственно с сервера идентификации по SMS или электронной почте, либо генерируется по специальному алгоритму в приложении для смартфона или в отдельном портативном устройстве, например, токене RSA. Некоторые банки выпускают платежные карты со встроенным OTP-модулем.

Уникальность одноразового пароля и ограниченный срок действия не позволяют использовать метод перебора при взломе.

Следующий метод идентификации — сопоставление MAC или IP-адреса устройства пользователя.

Оба эти параметра довольно легко подделать.

Такую идентификацию допустимо использовать только как дополнительный фильтр в сочетании с более надежным методом идентификации.

Самый надежный и безопасный метод идентификации – идентификация с использованием цифровых сертификатов.

Что такое цифровой сертификат? Это цифровое «удостоверение личности» устройства или пользователя.

Технически говоря, цифровой сертификат — это просто открытый ключ, подписанный центром сертификации.

Существует также закрытый ключ, который генерируется и хранится владельцем сертификата.

То, что зашифровано открытым ключом, можно расшифровать только закрытым ключом, и наоборот. Подразумевается, что открытый ключ известен всем, поэтому он так называется.

Информация, зашифрованная закрытым ключом, может быть расшифрована кем угодно, поскольку открытый ключ ни от кого не скрыт. Однако можно с уверенностью сказать, что расшифрованная информация поступила только от того, у кого есть закрытый ключ.

Это называется цифровой подписью.

Информация, зашифрованная открытым ключом, может быть расшифрована только закрытым ключом, а это означает, что ее может прочитать только владелец сертификата.

Любой может зашифровать с помощью открытого ключа, поскольку открытый ключ доступен каждому.

Цифровые сертификаты выдаются (подписываются) выдавшим их удостоверяющим центром.

Если сертификат был скомпрометирован, например, владелец сертификата не сохранил свой закрытый ключ, то сертификат аннулируется.

Центр сертификации выдает и подписывает CRL (список отзыва сертификатов), который затем публикуется на сервере.

Ссылка на этот ресурс содержится в каждом выданном сертификате, поэтому приложение, использующее сертификаты (например, VPN-сервер), может загрузить CRL и проверить действительность сертификата.

Для большей безопасности пару ключей можно хранить на специальных смарт-картах (смарт-картах) или USB-ключах (криптографических токенах).

Физически невозможно извлечь закрытый ключ из большинства этих продуктов, что делает крайне маловероятным, что закрытый ключ будет скомпрометирован.

Помимо открытого ключа сертификат содержит массу дополнительной информации.

Это могут быть имя и фамилия пользователя, адрес электронной почты, имя учетной записи домена и т. д. Для сервера идентификации проверка и последующее извлечение данных из сертификата является полной гарантией того, что подключающийся пользователь является именно тем, кем он себя выдает. При повышенных требованиях безопасности используются комбинации описанных методов, например, пара имя-пароль и фильтр по IP-адресу, или двухфакторная идентификация с использованием постоянного пароля и кода, отправляемого на мобильный телефон по SMS. Идентификация с помощью клиентского сертификата, дополненная одноразовым паролем, удовлетворяет самым высоким требованиям безопасности.

Ценный груз

Как я уже писал, сертификат — это публичный ключ с набором дополнительных параметров, сформированный в специальный пакет и все это подписанное доверенным центром сертификации.

Закрытый ключ должен находиться на стороне клиента и храниться вне доступа третьих лиц.

Существует два способа создания пары открытого и закрытого ключей: локальный и удаленный.

Удаленный метод предполагает генерацию обоих ключей в удостоверяющем центре, последующую генерацию сертификата, упаковку сертификата и закрытого ключа в защищенный контейнер и передачу контейнера на терминальное устройство клиента (компьютер, телефон, планшет) по защищенным каналам связи.

Загрузку файла с https-ресурса можно назвать относительно безопасным каналом связи, особенно если веб-сервер поддерживает современные протоколы шифрования, например TLS 1.1 и выше.

Контейнер защищен с помощью симметричного шифрования пароля, который передается конечному пользователю по альтернативным каналам связи, например, под диктовку по телефону, отправку в виде SMS и т. д. При получении контейнер, содержащий криптографические данные, открывается и сертификат и закрытый ключ устанавливаются в локальное хранилище сертификатов.

Этот метод имеет существенные недостатки: часть процессов пользователь должен выполнять самостоятельно, что требует времени и определенных навыков; кроме того, существует ненулевой риск перехвата криптоконтейнера и его пароля третьими лицами.

Метод локальной генерации ключей является наиболее безопасным и безопасным.

Оборудование конечного пользователя генерирует пару ключей, создает запрос сертификата на основе открытого ключа и отправляет его в центр сертификации на подпись.

Затем готовый сертификат принимается и устанавливается в локальное хранилище сертификатов.

Как видите, закрытый ключ не покинул конечное оборудование, что делает невозможным компрометацию ключа во время обмена информацией с центром сертификации.

Вы можете сгенерировать локальные ключи и отправить запрос сертификата вручную, а можете использовать специальные стандарты и протоколы для автоматизации.

Автоматизированный процесс получения или продления цифровых сертификатов называется автоматической ротацией или в устоявшейся терминологии — AutoEnrollment. Для систем Windows наиболее распространенными протоколами являются WCCE и MS-XCEP. Первый работает только в доменной среде и использует DCOM в качестве транспорта.

Второй протокол более гибок, работает в домене и за его пределами и использует XML поверх HTTPS в качестве транспорта.

Для современных установок рекомендуется MS-XCEP. Сетевые маршрутизаторы, коммутаторы Cisco, мобильные телефоны на базе Apple iOS, а также операционные системы OS X, Linux и FreeBSD поддерживают протокол ротации сертификатов SCEP. Это довольно простой и удобный протокол, использующий XML поверх HTTPS.

Залог успеха

Для конечных пользователей процесс получения сертификата может происходить совершенно незаметно, в фоновом режиме или с минимальным вмешательством пользователя.

Рассмотрим классический пример грамотного развертывания удаленного доступа всех описанных типов с использованием инфраструктуры открытых ключей (Public Key Services, PKI).

Допустим, компании необходимо иметь удаленные рабочие места для сотрудников, работающих из дома; доступ для сотрудников, которые постоянно находятся в разъездах; доступ для консультантов и техническая поддержка от сторонних компаний.

В качестве ядра системы развернута иерархия центров сертификации корпоративного уровня: один корневой центр и несколько выдающих центров.

Выдающий удостоверяющий центр должен иметь развитую систему управления и мониторинга, а также несколько стандартных интерфейсов для внешних запросов.

Также необходимо настроить периодическое формирование списков отзыва сертификатов (CRL) и службу проверки сертификатов в реальном времени (ответчик OCSP).

Это позволит другим службам, использующим сертификаты, быстро исключать отозванные сертификаты из обработки.

В доменной среде Windows (мы имеем в виду, что предприятие использует Windows) настраиваются правила автоматической ротации сертификатов машины и клиента.

Когда компьютер впервые подключается к домену, он автоматически получает собственный сертификат машины; при первой регистрации учетной записи пользователя также запрашивается сертификат, но уже для пользователя.

Все процессы происходят без участия пользователя, автоматически.

Сертификат пользователя можно разместить на смарт-карте, что существенно повышает безопасность системы.

Если пользователь использует ноутбук в качестве рабочей станции, то сертификат машины можно использовать для автоматического подключения к беспроводной сети предприятия (и всех филиалов предприятия), а сертификат пользователя будет использоваться для авторизации, т.е.

для входа в систему.

домен и получить необходимый доступ.

Администратор домена готовит и раздает сотрудникам профиль удаленного доступа, используя для идентификации ранее полученные сертификаты.

При подключении из дома сотрудник запускает профиль удаленного доступа, компьютер определяется на VPN-шлюзе предприятия, а затем сотрудник входит в домен, как если бы он находился в офисе.

Желательно, но не обязательно, настроить фильтрацию доступа по IP-адресам, поскольку большинство сотрудников обычно имеют статические домашние адреса подключения.

Для путешествующих сотрудников профиль удаленного доступа немного отличается; К идентификации сертификата добавлена проверка одноразового пароля.

Также создается защищенный веб-портал, доступ к которому можно получить откуда угодно, не имея работающего ноутбука.

Для идентификации используются статические и одноразовые пароли.

Доступ предоставляется в виде отображения рабочего стола виртуального сервера в окне браузера.

Именно с этим доступом вы сможете получить и распечатать необходимые документы из любого интернет-кафе.

Для гостевого доступа выдаются сертификаты со сроком действия, равным сроку доступа.

Профиль и права доступа настраиваются с использованием данных из сертификата.

При необходимости досрочного закрытия доступа сертификат аннулируется.

Последние несколько лет ознаменовались резким увеличением количества мобильных устройств.

Смартфоны и планшеты буквально ворвались в повседневную жизнь.

Одним из лидеров мобильных устройств является Apple; благодаря высокому качеству и грамотному позиционированию продукции в корпоративном секторе сформировалась целая экосистема «яблочных» устройств.

Доходит до того, что iPad вошел в комплект оборудования депутата Госдумы.

К счастью, продукты под управлением Apple iOS хорошо себя зарекомендовали, когда дело доходит до поддержки корпоративных потребностей.

Реализован механизм загрузки и применения профилей конфигурации, которые могут содержать запросы на получение сертификатов по протоколу SCEP, а также настройки автоматического подключения к корпоративному VPN-шлюзу.

Для получения и установки профиля требуется единоразовое одобрение пользователя; все остальные процессы происходят в фоновом режиме.

Профиль позволяет вам очень широко управлять настройками вашего телефона или планшета.

Помимо сертификатов и VPN вы можете перенести настройки подключения к беспроводным сетям, настройки корпоративной почты и настройки безопасности, например требование всегда защищать доступ к телефону цифровым кодом.

Есть возможность отключить камеру или диктофон.

Можно даже запретить просмотр видео на YouTube, хотя особого смысла в таком запрете я не вижу.

Технически есть возможность удаленно удалить скачанный профиль вместе со всем его содержимым: почтой, настройками удаленного доступа, доступа к беспроводным сетям и т.д. Это крайне удобно при увольнении сотрудника или потере телефона.

выводы

В современном мире главная ценность компаний – это знания.

Промышленный шпионаж и утечка информации из-за уязвимостей представляют собой вполне реальную угрозу.

Возможность сотрудников работать удаленно не только повышает эффективность труда, но и положительно влияет на лояльность сотрудников к компании.

Если все требования информационной безопасности соблюдены, то можно с уверенностью сказать, что предприятие достигло гармонии и процветания.

Современное оборудование и программное обеспечение позволяют безопасно подключаться к ресурсам предприятия из любой точки мира, где есть доступ в Интернет. Теги: #vpn #информационная безопасность

• Выбирайте Надежного Производителя Флипбуков

  19 Oct, 24

• Белаваль, Ивон

  19 Oct, 24

• Как Оптимизировать Затраты На Контекстную Рекламу В Кризис – Советы От Seo-Студии

  19 Oct, 24

• Почему Москва И Якутск Круче Нью-Йорка И Лондона

  19 Oct, 24

• Дополнительные Измерения: Двумерные Миры

  19 Oct, 24

• Зачем Нам В «Леруа Мерлен» Собственный Отдел Российского Развития На 200 Человек?

  19 Oct, 24

• «Рунет Сегодня», 12 Сентября 2011 Г. Эксперты: Павел Никонов, Сергей Спивак

  19 Oct, 24

• Измерители Wxwidgets

  19 Oct, 24

• Everyscape — Трехмерное Изображение Мест Планеты Из Обычных Фотографий.

  19 Oct, 24

• Как Мне Искать Новую Работу?

  19 Oct, 24