1 / 29

Безопасный удаленный доступ ( мобильный офис)

Безопасный удаленный доступ ( мобильный офис) . Нужен ли удаленный доступ и как обеспечить его безопасность ? . Stonesoft Russia. Рыночные тренды. Посмотрим на сотрудников. Доступ с ноутбука вне рабочего места: презентации, совещания, встреча у клиента, из дома …..

luigi
Télécharger la présentation

Безопасный удаленный доступ ( мобильный офис)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Безопасный удаленный доступ(мобильный офис) Нужен ли удаленный доступ и как обеспечить его безопасность ? Stonesoft Russia

  2. Рыночные тренды

  3. Посмотрим на сотрудников • Доступ с ноутбука вне рабочего места: презентации, совещания, встреча у клиента, из дома ….. • Доступ в дороге : аэропорт, автомобиль (не зарулем), поезд ( через телефон), гостинница и др…- ноутбук ? Или?. • Доступ в отпуске, из дома с домашнего компьютера, от клиента с чужого компьютера и др…. • Доступ с коммуникатора: удобно получать почту мгновенно и на телефон сразу (или планшет) в любых условиях, особенно где нет кабинетных условий, например риелторы, страхователи и др … С точки зрения администратора , управление всеми этими типами доступа уже проблема, а еще партнеры и др….

  4. Типичная защита удаленного доступа • Клиентское средство имеет впн клиент и антивирус или не защищено никак – есть только рекомендации на сайте …. • В случае ссл доступа, Браузер подключается к сайту используя SSL соединение. Клиент аутентифицируется по сертификату с флешки ( в лучшем случае с токена), а часто просто пароль ….особенно если это айпад или что то подобное . • На межсетевом экране прописаны ресурсы в виде сетевых адресов куда можно «ходить» ….. • В лучшем случае используется IPS ( чаще нет) между шлюзом и ресурсами , с общими правилами … • Доступ в почту с телефона или планшета – как правило настроенный агент Mail for exchange или Lotus traveler, а чаще всего просто IMAP и SMTP c устройства ! Лишняя дыра в безопасности !!!!

  5. Разные устройства – разные возможности безопасности • Для компьютеров с windows имеется большой пул средств безопасности и анализа, однако и атак больше чем на другие системы • Linux – уже проблема ( а какой именно линукс ???), слишком много дистрибутивов.Который безопасен? • IPAD - чье устройство , какая политика безопасности на нем, не «сливает» ли это устройство данные куда то ? • Android – это открытое устройство ? Какие программы на нем стоят? Какова политика безопасности ?

  6. Риски удаленного доступа • Риски относящиеся к воровству данных аутентификации ( по каналу связи) – информация может быть перехвачена • Физический неконтролируемый доступ к удаленным компьютерам – можно установить шпионское ПО • Ограничения оборудования ( нет возможности воткнуть USB токен с секретным ключом .Доступ с неуправляемых удаленных устройств • Чувствительная информация может случайно остаться на чужом устройстве • Чувствительная информация может быть сохранена легитимным пользователем ( и оставлена) • Риски анонимности • Сложно понять с чего вообще осуществляется доступ, и соответственно применить политику безопасности. • Пользователь может быть доверенным а на устройстве может быть шпионское ПО .

  7. Что Безопаснее?

  8. Почему SSL VPN ? • SSL VPN спроектирован для удаленного доступа • Нет проблем с NAT • Часто не требует клиента • Если используется специальный агент – то как правило нет настроек со стороны клиента . • Все равно через какую сеть подключается • Как правило вездеоткрыт доступ для SSL (443 порт) • Очень просто поддерживать и управлять на клиентской части • Строгая политика безопасности ( дается доступ только к тому что надо ) • Пользователю проще работать ( портал )

  9. Что нужно для обеспечения безопасного доступа ? • Обеспечить защищенное соединение (шифрованное) • определить это свой пользователь ? • Определить это свое ( доверенное ) устройство или нет ? • Обеспечить безопасность удаленного устройства (NAC). • Обеспечить аудит действий пользователя . • Обеспечить возможность блокирования записи информации в несанкционированные места … • Обеспечить разграничение доступа к ресурсам • Обеспечить удаление информации на удаленном устройстве после окончания сеанса связи ( если надо ) • обеспечить доступ с любых устройств ( по возможности)

  10. StoneGate SSL VPN ФСБ ФСТЭК ФСБ ФСТЭК ФСБ ФСТЭК • Безопасный доступ с любых устройств • Встроенная двух факторная аутентификация • Интеграция с любыми каталогами и др. ( AD, LDAP, Oracle) • Поддержка single sign-on & ID federation • Интегрированное управление угрозами • Только доверенные соединения . • Анализ целостности и безопасности устройства • Удаление «следов» работы пользователя. • Гранулированное и гибкое управление доступом • Авторизация на уровне приложений • Концепция least privileges – только то что разрешено СЕРТИФИЦИРОВАНО

  11. Концепция ААА – безнадежно устарела  С StoneGate SSL VPN вы получаете намного больше: АААААA...  • Аутентификация (authentication) • Авторизация (динамическая) (authorization) • Оценка соответствия (динамическая) (assessment) • Разграничение доступа (Accesscontrol) • Туннелирование /защита трафика • Удаление следов (abolish) • Учет (accounting) • Анализ (Auditing) • Администрированиедействий (Action rights)

  12. StoneGate SSL VPN позволяет ответить на вопросы : • КТО получает доступ? • Какие ресурсы аутентифицированному пользователю доступны ? • С какого устройства он получает доступ ? • Это ЧЕЛОВЕК или программа? • Из какой сети он получает доступ ( например йота)? • Обеспечивается ли безопасность на удаленном устройстве достаточным образом ? • Можно на это устройство копировать информацию ?

  13. Полный доступ Нет доступа Полный доступ Ограниченный доступ Разные уровни доступа • При не прохождении отдельных видов тестов или доступе с неавторизованного устройства, доступ к ресурсам может быть ограничен политикой безопасности. почта файлы

  14. Различные уровни доступа

  15. Безопасность хоста Определяет уровень безопасности устройства и дает нужные права доступа Наличие Key logger? Проверка антивируса, других программ Проверки специфичных файлов/процессов /сервисов/портов/приложений, ключей реестра • Безопасность обеспечивается динамически Проверка патчейOS, антивируса Проверка наличия Firewall Анализ серийных номеров, запущеных процессов Сервера приложений APP server Citrix Oracle Db File share Lotus MS Exchange SSH Server Web portal безопасность браузера Real time проверки подключаемого устройства Проверки отсутствия IP-forwarding & network bridging SSL VPN Gateway Remote user Активация Firewall

  16. Как нейтрализуются угрозы • персональный файрвол используется в политиках по умолчанию и используется для защиты хоста при подключении к ресурсам . • Добавляются дополнительные правила доступа если антивирус недоступен или не обновлен ( авторизация) • Переподключение или новый анализ безопасности если это необходимо ( ЕСЛИ ПОЛИТИКА БЕЗОПАСНОСТИ НАРУШЕНА) • Отключение в необходимых случаях, когда динамические проверки показывают несанкционированную деятельность пользователя

  17. Как нейтрализуются угрозы • Если устройство анонимно : • Запрет доступа в более конфиденциальные домены • Сканирование устройства и реестра : • Domain Membership; O/S • Контроль целостности файлов и реестра • Серийные номера HDD, Motherboard … • Наличие нужных ключей реестра • Проверка наличия нужных программ, запущенных процессов • запреты на определенные действия, например на закачку файлов или их изменение

  18. Как нейтрализуются угрозы • Критические данные удаляются • Технологии удаления кеш и других областей • Данные обрабатываются в «песочнице» • Слежение за определенными файлами которые скачиваются на удаленное устройство.

  19. Сценарии доступа • Web доступ через портал • Доступ с использованием браузера к приложениям или ресурсам опубликованным на внутреннем защищенном портале • Web доступ к файлам, почте и др. приложениям поддерживающим WEB • Доступ приложения • Обеспечивается доступ определенных (разрешенных) приложений на клиентском устройстве к ресурсам защищаемой сети • Отсутствие настроек на клиентском месте, работа как в локальной сети • Сетевой доступ (динамический туннель) • Поддерживаются любые порты и приложения. . • Доступ аналогичен использованию IPSEC клиента. • Позволяет упростить конфигурации для неизученных приложений • Позволяет передавать голос, видео …

  20. Как это работает ? • Для клиента это выглядит как доступ на веб сайт - проще не бывает . • Просто набираем сайт типа https:\\yoursite.ru • Выбираем метод аутентификации, ввели аутентификационные данные и … попали в портал

  21. Как это работает ? • Для работы с ресурсом нужно просто кликнуть нужную иконку и нужное приложение или ресурс откроется …. • Подключение намного проще чем при соединении IPSec – пользователю не нужно управлять клиентом - только ввести свой пароль ( например одноразовый) и все - он получил доступ к ресурсам .

  22. Типичная установка SSL VPN • Типично шлюз устанавливается в DMZ компании. К нему открывается только доступ HTTP и HTTPS. • Соединения проводятся исключительно через SSL тунель со строгой аутентификацией сервисы Сервера приложений APP server Citrix Oracle Db File share Lotus MS Exchange SSH Server Web portal DMZ LDAP MS AD Oracle Novell Radius RSA TCP/UDP (ANY) TCP/443 (SSL) Internet

  23. Поддержка приложений • Поддерживается большое количество приложений позволяя обеспечивать нативный доступ приложения к ресурсам сети

  24. Технология Active Sync • Все кто имеет телефон или планшет знает что очень удобно иметь почту на телефоне, которая мгновенно синхронизируется. Как обеспечить безопасность ? • Обычный подход – туннелирование – часто сложно обеспечить и часто медленная работа и глюки. • Второй вариант – сделать дырку до сервера почты • … • StoneGate SSL - Нативная поддержка, Mail for exchange. • Обеспечивает постоянный доступ приложений без участия пользователя

  25. Проблемы сертифицированных SSL VPN решений • в настоящий момент все решения представлены криптопровайдерами . • В правилах пользования всех криптопровайдеров написано – обеспечить анализ встраивания …. • Нет реального шлюзового решения – есть только руководства как встроить в разные сервера ( Apache) • нет сертификации ФСТЭК как решения • Требуют доводки решения после встраивания до работоспособного состояния

  26. Сертификация • Для полного соответствия Российскому законодательству SSL VPN прошел сертификацию ФСТЭК: • Шлюз защиты удаленного доступа StoneGate SSL* – 3 класс МЭ (многокомпонентного), 1класс ПДн, 4 класс НДВ. • В составе сертифицирована система многофакторной аутентификации! • И ФСБ : • Классы КС1 – КС2! • Поддерживаются криптопровайдеры ( прописаны в сертификатах) : Криптопро, Валидата!

  27. Различные исполнения Сейчас доступно 8 исполнений по линии сертификации ФСБ ! • 1. три исполнения шлюза SSL VPN Server. ( КС1 – КС2 а также вариант с устройством МАРШ). • 2. Исполнение КС1 для сред Windows ( любых) и Linux ( широкий набор) • 3. Исполнение КС2 – на изделии МАРШ , в средах Windows, Linux. • 4. Исполнения КС3 ( скоро выход) – для среды Win XP и в перспективе для Win7. а также для шлюза доступа.

  28. Чем решение отличается от текущих решений SSL-GOST На рынке много решений SSL, которые сертифицированы ( библиотеки Криптопро, МагПро и другие) почувствуйте разницу : • Масштабируемость до любых размеров ( до 32 шлюзов ) • Поддержка работы приложений (туннель ) а не только браузер • Работа на разных платформах с поддержкой приложений • Мощная встроенная система двухфакторной аутентификации • Single Sign On (SSO) Federated ID • Анализ безопасности подключаемого устройства (security checks) • End-Point защита (сканирования, персональный экран) • Нет требования о контроле встраивания ! • Готовое, сертифицированное решение !

  29. Комплексная безопасность- это просто . Защита периметра Предотвращение вторжений Управление событиями и инцидентами Виртуальные сети Безопасный удаленный доступ

More Related