Безопасный удаленный доступ (мобильный офис) Нужен ли удаленный доступ и как обеспечить его безопасность ? Stonesoft Russia

Рыночные тренды тенденцииВозможные последствия Централизация всех видов доступа в Энтерпрайзах Необходимо высоко масштабируемое и мощное решение для всех пользователей, с обеспечением кросс аутентификации. Увеличение количества используемых мобильных устройств Обеспечение доступа с разных устройств и с использованием различных операционных систем. Планы по обеспечению восстановлению после катастроф и доступности Необходим постоянный, непрерывный доступ в любое время и во всех возможных условиях, с любых устройств. Увеличение числа умных атак с использованием malware Необходим анализ безопасности подключаемых устройств Больше удаленных работников, больше партнеров с удаленным доступом Труднее применять политики безопасности и разграничивать доступ пользователей, к ресурсам

Посмотрим на сотрудников Доступ с ноутбука вне рабочего места: презентации, совещания, встреча у клиента, из дома ….. Доступ в дороге : аэропорт, автомобиль (не зарулем ), поезд ( через телефон), гостинница и др…- ноутбук ? Или?. Доступ в отпуске, из дома с домашнего компьютера, от клиента с чужого компьютера и др…. Доступ с коммуникатора: удобно получать почту мгновенно и на телефон сразу (или планшет) в любых условиях, особенно где нет кабинетных условий, например риелторы, страхователи и др … С точки зрения администратора, управление всеми этими типами доступа уже проблема, а еще партнеры и др….

Типичная защита удаленного доступа Клиентское средство имеет впн клиент и антивирус или не защищено никак – есть только рекомендации на сайте …. В случае ссл доступа, Браузер подключается к сайту используя SSL соединение. Клиент аутентифицируется по сертификату с флешки ( в лучшем случае с токена), а часто просто пароль ….особенно если это айпад или что то подобное. На межсетевом экране прописаны ресурсы в виде сетевых адресов куда можно «ходить» ….. В лучшем случае используется IPS ( чаще нет) между шлюзом и ресурсами, с общими правилами … Доступ в почту с телефона или планшета – как правило настроенный агент Mail for exchange или Lotus traveler, а чаще всего просто IMAP и SMTP c устройства ! Лишняя дыра в безопасности !!!!

Разные устройства – разные возможности безопасности Для компьютеров с windows имеется большой пул средств безопасности и анализа, однако и атак больше чем на другие системы Linux – уже проблема ( а какой именно линукс ???), слишком много дистрибутивов. Который безопасен? IPAD - чье устройство, какая политика безопасности на нем, не «сливает» ли это устройство данные куда то ? Android – это открытое устройство ? Какие программы на нем стоят? Какова политика безопасности ?

Риски удаленного доступа Риски относящиеся к воровству данных аутентификации ( по каналу связи) – информация может быть перехвачена Физический неконтролируемый доступ к удаленным компьютерам – можно установить шпионское ПО Ограничения оборудования ( нет возможности воткнуть USB токен с секретным ключом. Доступ с неуправляемых удаленных устройств Чувствительная информация может случайно остаться на чужом устройстве Чувствительная информация может быть сохранена легитимным пользователем ( и оставлена) Риски анонимности Сложно понять с чего вообще осуществляется доступ, и соответственно применить политику безопасности. Пользователь может быть доверенным а на устройстве может быть шпионское ПО.

Что Безопаснее? ПараметрыSSL VPNк IPSec ШифрованиеЗависит от браузераСильное АутентификацияЛюбые методы Контроль доступаДоступ приложенийдоступ компьютера к ресурсам сети Доступ приложений с удаленного устройства только разрешенные (proxy) Любые на устройстве ЖурналированиеПодробное (application)Подробное (сеть) Поддержка разных устройств Просто, браузер, (и) специальный агент Нужен клиент (иногда сложно) Анализ удаленного устройства Улучшено (анализ хоста) Как правило доп средства. Простота использования для пользователяПросто. Нажать линк Часто требуется знание работы клиента. Доступность ресурсов Везде 443 порт открыт Проблемы с экранами

SSL VPN спроектирован для удаленного доступа Нет проблем с NAT Часто не требует клиента Если используется специальный агент – то как правило нет настроек со стороны клиента. Все равно через какую сеть подключается Как правило везде открыт доступ для SSL (443 порт) Очень просто поддерживать и управлять на клиентской части Строгая политика безопасности ( дается доступ только к тому что надо ) Пользователю проще работать ( портал ) Почему SSL VPN ?

Что нужно для обеспечения безопасного доступа ? Обеспечить защищенное соединение (шифрованное) определить это свой пользователь ? Определить это свое ( доверенное ) устройство или нет ? Обеспечить безопасность удаленного устройства (NAC). Обеспечить аудит действий пользователя. Обеспечить возможность блокирования записи информации в несанкционированные места … Обеспечить разграничение доступа к ресурсам Обеспечить удаление информации на удаленном устройстве после окончания сеанса связи ( если надо ) обеспечить доступ с любых устройств ( по возможности)

StoneGate SSL VPN Безопасный доступ с любых устройств Встроенная двух факторная аутентификация Интеграция с любыми каталогами и др. ( AD, LDAP, Oracle) Поддержка single sign-on & ID federation Интегрированное управление угрозами Только доверенные соединения. Анализ целостности и безопасности устройства Удаление «следов» работы пользователя. Гранулированное и гибкое управление доступом Авторизация на уровне приложений Концепция least privileges – только то что разрешено СЕРТИФИЦИРОВАНО

Концепция ААА – безнадежно устарела С StoneGate SSL VPN вы получаете намного больше: АААААA... Аутентификация (authentication) Авторизация (динамическая) (authorization) Оценка соответствия (динамическая) (assessment) Разграничение доступа (Access control) Туннелирование /защита трафика Удаление следов (abolish) Учет (accounting) Анализ (Auditing) Администрирование действий (Action rights)

StoneGate SSL VPN позволяет ответить на вопросы : КТО получает доступ? Какие ресурсы аутентифицированному пользователю доступны ? С какого устройства он получает доступ ? Это ЧЕЛОВЕК или программа? Из какой сети он получает доступ ( например йота)? Обеспечивается ли безопасность на удаленном устройстве достаточным образом ? Можно на это устройство копировать информацию ?

Разные уровни доступа Полный доступ При не прохождении отдельных видов тестов или доступе с неавторизованного устройства, доступ к ресурсам может быть ограничен политикой безопасности. Нет доступа Полный доступ Ограниченный доступ файлы почта

Устр.AssessmentauthenticationAccounting, AccessAction policy Antivirus = да P Firewall = да Registry = да Integrity (files)=да Serial, процессы = да Проверка хоста = да Строгая двухфакторная, + проверка соответствия ноутбука пользователю файлы = да Web = да, почта = да CRM = да, telnet = да Timeout = 6 часов проверка хоста = периодическая Полный доступ к сети, скачивание файлов, Редактирование и сохранение документов и др. Antivirus = да P Firewall = да Integrity (files)=да Serial = да Политика locout = да Строгая двухфакторная, + соовтетствие пользователя и устройства File = да, Web = да Download=да Timeout = 6 часов почта – постоянная синхронизация Ограниченный набор приложений, редактирование файлов, сохранение в телефоне ограничено. Antivirus = да P Firewall = нет Registry = нет Проверка хоста = нет Строгая двухфакторная, Установить Pfirewall – нет Web mail = да web = read only Timeout = 1/2 часа CRM – read only Mail – Нельзя сохранять файлы, документы после сеанса удаляются. Чужой планше т Antivirus = нет P Firewall = нет Проверки хоста = нет Пароль Нет соответствий Отсылка на сервер карантина Нельзя передавать файлы и др. Различные уровни доступа

Безопасность хоста Проверка наличия Firewall Анализ серийных номеров, запущеных процессов Проверка патчей OS, антивируса безопасность браузера Наличие Key logger? Проверка антивируса, других программ Проверки отсутствия IP- forwarding & network bridging Проверки специфичных файлов/процессов /сервисов/портов/приложен ий, ключей реестра Real time проверки подключаемого устройства SSL VPN Gateway Remote user Сервера приложений APP server Citrix Oracle Db File share Lotus MS Exchange SSH Server Web portal Безопасность обеспечивается динамически Определяет уровень безопасности устройства и дает нужные права доступа Активация Firewall

Как нейтрализуются угрозы персональный файрвол используется в политиках по умолчанию и используется для защиты хоста при подключении к ресурсам. Добавляются дополнительные правила доступа если антивирус недоступен или не обновлен ( авторизация) Переподключение или новый анализ безопасности если это необходимо ( ЕСЛИ ПОЛИТИКА БЕЗОПАСНОСТИ НАРУШЕНА) Отключение в необходимых случаях, когда динамические проверки показывают несанкционированную деятельность пользователя

Как нейтрализуются угрозы Если устройство анонимно : Запрет доступа в более конфиденциальные домены Сканирование устройства и реестра : Domain Membership; O/S Контроль целостности файлов и реестра Серийные номера HDD, Motherboard … Наличие нужных ключей реестра Проверка наличия нужных программ, запущенных процессов запреты на определенные действия, например на закачку файлов или их изменение

Как нейтрализуются угрозы Критические данные удаляются Технологии удаления кеш и других областей Данные обрабатываются в «песочнице» Слежение за определенными файлами которые скачиваются на удаленное устройство.

Сценарии доступа Web доступ через портал –Доступ с использованием браузера к приложениям или ресурсам опубликованным на внутреннем защищенном портале –Web доступ к файлам, почте и др. приложениям поддерживающим WEB Доступ приложения –Обеспечивается доступ определенных (разрешенных) приложений на клиентском устройстве к ресурсам защищаемой сети –Отсутствие настроек на клиентском месте, работа как в локальной сети Сетевой доступ (динамический туннель) –Поддерживаются любые порты и приложения.. –Доступ аналогичен использованию IPSEC клиента. –Позволяет упростить конфигурации для неизученных приложений –Позволяет передавать голос, видео …

Как это работает ? Для клиента это выглядит как доступ на веб сайт - проще не бывает. Просто набираем сайт типа Выбираем метод аутентификации, ввели аутентификационные данные и … попали в портал

Как это работает ? Для работы с ресурсом нужно просто кликнуть нужную иконку и нужное приложение или ресурс откроется …. Подключение намного проще чем при соединении IPSec – пользователю не нужно управлять клиентом - только ввести свой пароль ( например одноразовый) и все - он получил доступ к ресурсам.

Типичная установка SSL VPN TCP/443 (SSL) TCP/UDP (ANY) DMZ сервисы LDAP MS AD Oracle Novell Radius RSA Сервера приложений APP server Citrix Oracle Db File share Lotus MS Exchange SSH Server Web portal Типично шлюз устанавливается в DMZ компании. К нему открывается только доступ HTTP и HTTPS. Internet Соединения проводятся исключительно через SSL тунель со строгой аутентификацией

Поддержка приложений Поддерживаетс я большое количество приложений позволяя обеспечивать нативный доступ приложения к ресурсам сети

Технология Active Sync Все кто имеет телефон или планшет знает что очень удобно иметь почту на телефоне, которая мгновенно синхронизируется. Как обеспечить безопасность ? Обычный подход – туннелирование – часто сложно обеспечить и часто медленная работа и глюки. Второй вариант – сделать дырку до сервера почты … StoneGate SSL - Нативная поддержка, Mail for exchange. Обеспечивает постоянный доступ приложений без участия пользователя

Проблемы сертифицированных SSL VPN решений в настоящий момент все решения представлены криптопровайдерами. В правилах пользования всех криптопровайдеров написано – обеспечить анализ встраивания …. Нет реального шлюзового решения – есть только руководства как встроить в разные сервера ( Apache) нет сертификации ФСТЭК как решения Требуют доводки решения после встраивания до работоспособного состояния

Сертификация Для полного соответствия Российскому законодательству SSL VPN прошел сертификацию ФСТЭК: Шлюз защиты удаленного доступа StoneGate SSL* – 3 класс МЭ (многокомпонентного), 1класс ПДн, 4 класс НДВ. В составе сертифицирована система многофакторной аутентификации! И ФСБ : Классы КС1 – КС2 ! Поддерживаются криптопровайдеры ( прописаны в сертификатах) : Криптопро, Валидата!

Различные исполнения Сейчас доступно 8 исполнений по линии сертификации ФСБ ! 1. три исполнения шлюза SSL VPN Server. ( КС1 – КС2 а также вариант с устройством МАРШ). 2. Исполнение КС1 для сред Windows ( любых) и Linux ( широкий набор) 3. Исполнение КС2 – на изделии МАРШ, в средах Windows, Linux. 4. Исполнения КС3 ( скоро выход) – для среды Win XP и в перспективе для Win7. а также для шлюза доступа.

Чем решение отличается от текущих решений SSL-GOST На рынке много решений SSL, которые сертифицированы ( библиотеки Криптопро, МагПро и другие) почувствуйте разницу : Масштабируемость до любых размеров ( до 32 шлюзов ) Поддержка работы приложений (туннель ) а не только браузер Работа на разных платформах с поддержкой приложений Мощная встроенная система двухфакторной аутентификации Single Sign On (SSO) Federated ID Анализ безопасности подключаемого устройства (security checks) End-Point защита (сканирования, персональный экран) Нет требования о контроле встраивания ! Готовое, сертифицированное решение !

Комплексная безопасность- это просто. Безопасный удаленный доступ Предотвращение вторжений Виртуальные сети Защита периметра Управление событиями и инцидентами