В век высоких технологией и информатизации общества информация становится одним из самых важных ресурсов бизнеса и главным элементом производственных сил. В связи с этим растет спрос и стоимость на эксклюзивное право владения информацией. Поэтому все чаще мы сталкиваемся с тем, что право на владение информацией может быть нарушено тем или иным способом, и бизнес терпит колоссальные убытки или вообще прекращает свою деятельность.
Таким образом, одним из важных аспектов деятельности любого предприятия является защита информационных ресурсов компании, т.е. ее информационная безопасность и диверсификация рисков, связанных с утечкой информации.
Если рассматривать варианты централизации корпоративной информации с целью ее протекции, то выгодным является удаленный сервер.
Эта система представляет собой виртуальный сервер под управлением Microsoft Windows Server со следующими ролями: терминальный сервер, СУБД, файловый сервер. На сервере размещаются любые бухгалтерские, офисные программы, позволяющие вести управление бизнесом из любой точки мира. Сам виртуальный сервер размещается в датацентре на профессиональном оборудовании, позволяющем организовать работу в режиме 24/7 без простоев и перебоев в работе.
Использование удаленного сервера позволяет применять такие средства защиты информации:
-
аппаратные (использование оборудования с аппаратным шифрованием);
-
законодательные (сервер может размещаться в дата-центре другой страны с более либеральными законами);
-
программные (шифрование дисков, использование ПО, шифрующего исходящий на сервер и с сервера трафик).
-
организационные (ИТ персонал, обслуживающий сервер управленческой информации, может территориально находиться далеко (в другой стране) от места ведения бизнеса и не заинтересован в хищении информации и ее передаче).
Таким образом, данное решение применяет практически весь комплекс мер по защите информации и к тому же не требует больших капиталовложений.
Однако, поскольку сервер облачный, важным аспектом является безопасность данных в процессе их передачи от клиента к серверу. Существует несколько способов организовать доступ клиента к серверу и каждый из них имеет свои плюсы и минусы. Рассмотрим их по очереди.
Вариант 1. Прямой доступ к серверу с помощью шлюза удаленного рабочего стола
С точки зрения технической реализации, то для клиента не нужны никакие дополнительные ресурсы и оборудование. Клиент удаленного рабочего стола или Remote Deskop Client – кросс-платформенное программное обеспечение и поэтому может быть реализовано где угодно, вплоть до планшетов и смартфонов, с условием поддержки шлюза RDS.
Безопасность передаваемой информации на сервер с помощью этой технологии обеспечивается встроенными средствами клиента удаленного рабочего стола (возможность использования 128-битное шифрование по алгоритмам RC4, AES или 3DES с проверкой целостности хешем MD5 или SHA1, использование TLS шифрования). Плюсы и минусы такой технологии представим в виде таблицы:
| Плюсы | Минусы |
| Удобный и быстрый доступ из любого места с любого устройства без предварительной настройки | Некоторые устройства не поддерживают шлюз удаленного рабочего стола |
| Точечный доступ на конкретный сервер исключительно по RDP |
Вариант 2. VPN
Следующий способ доступа к серверу основывается на базе VPN — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, интернет).
Логическую сеть мы будем строить на основе программного обеспечения OpenVPN. Это Open Source программное обеспечение и может быть использовано бесплатно. Мы на практике применяем несколько типов соединений, используя это программное обеспечение:
- точка-точка;
- сеть-сеть.
Вариант 2.1. Туннель точка-точка на основе OpenVPN
Туннель типа точка-точка используется в случаях, когда необходимо подключить одно рабочее место. Если, например, ваши сотрудники территориально разбросаны по всей стране, тогда логичнее будет использовать именно такой тип соединения.
Для организации такого подключения необходимо будет установить клиент OpenVPN и провести предварительные настройки (описать конфигурационный файл – куда подключаться, какой алгоритм шифрования использовать, какие сертификаты использовать). Для подключения, пользователю необходимо обладать специальным сертификатом (точнее даже несколькими сертификатами), с помощью которых и будет шифроваться информация, передаваемая на сервер. Сертификаты выполняют и еще одну важную функцию – возможность идентифицировать, кто именно подключился на сервер.
Клиент OpenVPN также является кросс-платформенным и может быть установлен как на Windows, так и на MacOS, Linux. Также существует клиент и для смартфонов.
Для обеспечения безопасности управляющего канала и потока данных, OpenVPN использует библиотеку OpenSSL. Благодаря этому задействуется весь набор алгоритмов шифрования, доступных в данной библиотеке.
Дополнительным плюсом использования туннеля точка-точка может быть использования специального ключа для хранения сертификатов для подключения к серверу. Такой электронный ключ называют донгл. Он чаще всего встречается с usb форм-фактором. Суть такого решения заключается в том, что на донгл записывается и шифруется сертификат пользователя. Подключение к серверу осуществляется только при условии подключенного к устройству донгла. Сертификат на донгле шифруется и обычно защищен паролем, поэтому доступ на сервер получается с 3-х факторной защитой:
-
получение физического доступа к донглу и подключение его к устройству;
-
пароль к сертификату на донгле для построения туннеля между клиентом и сервером;
-
пароль для входу на сервер.
В таблице ниже представлены плюсы и минусы решения OpenVPN:
| Плюсы | Минусы |
| Кросс-платформенное решение | |
| Использование личных сертификатов пользователей для безопасности информации и идентификации пользователя | Поддержка устройством ПО OpenVPN. |
| Использование шифрования трафика между сервером и клиентом | Предварительная настройка каждого устройства, с которого необходимо получить доступ |
| Возможность использования аппаратных ключей для доступа |
Использование такой технологии очень удобно в том случае, когда рабочее место сотрудника, который работает с севером управленческой информации, находится в публичном месте с открытым доступом.
Вариант 2.2. Туннель сеть-сеть на основе OpenVPN
Следующий тип соединения, используя OpenVPN, является туннелем типа сеть-сеть. Как раз для таких предприятий, нет смысла приобретать профессиональное сетевое оборудование ввиду отсутствия большой нагрузки. Можно взять любое устройство типа SOHO и донастроить его. Используя специальное программное обеспечение для такого типа устройств, можно добиться его работоспособности для построения туннеля OpenVPN. Кроме использования SOHO устройств, можно использовать Linux маршрутизаторы. Примером, таких SOHO устройств могут послужить маршрутизаторы Mikrotik.
Представим плюсы и минусы данного решения в виде таблицы:
| Плюсы | Минусы |
| Одна логическая сеть между серверов и офисом предприятия | Не может выдержать серьезную нагрузку |
| Требуется предварительная настройка только одного устройства, отвечающего за канал между сервером и пользователями | |
| Возможность использования на сервере ресурсов офиса заказчика (сетевые принтера, файловые хранилища, хранилища резервных копий) | Для шифрования и передачи трафика на стороне сервера используется не специализированное оборудование, а ресурсы сервера |
| Невысокая стоимость владения |
Таким образом, как и говорилось выше, такой тип подключения рекомендуется небольшим компаниям с численностью сотрудников в среднем до 15 человек или меньше, находящихся территориально в одной локально-вычислительной сети.
Вариант 2.3. Туннель на основе IPSEC
Последним из рассмотренных в этой статье типов соединения с серверов будет IPSEC. Этот тип VPN соединения мы используем для подключения VPN типа сеть-сеть. Для организации такого туннеля мы используем профессиональное сетевое оборудование таких вендоров как Cisco, Juniper. При настройке туннелей мы можем учитывать следующую информацию:
1. Симметричные алгоритмы для шифрования/расшифровки данных.
2. Криптографические контрольные суммы для проверки целостности данных.
3. Способ идентификации узла. Самые распространённые способы – это предустановленные ключи (pre-shared secrets) или RSA сертификаты.
4. Использовать ли режим туннеля или режим транспорта.
5. Какую использовать группу Diffie Hellman.
6. Как часто проводить переидентификацию узла.
7. Как часто менять ключ для шифрования данных.
Все это позволяет нам установить нужный уровень защищенности соединения, а также балансировать между уровнем шифрования и быстродействием маршрутизатора.
Соответственно, такое решение мы можем рекомендовать как большим, так и средним предприятиям с уровнем передачи данных различной интенсивности.
Использование профессионального оборудования позволяет организовать работу пользователей даже несмотря на возможные ограничения провайдеров и корпоративных фаерволов. Примером такой технологии может быть Cisco SSL VPN, который обеспечивает шифрованное соединения типа точка-сеть и использует HTTPS (порт 443) для пересылки трафика между клиентом и сервером. Такая технология также называется WebVPN. Логин и аутентификация конечного пользователя осуществляется с помощью веб-браузера с помощью запроса HTTP. Этот процесс создает сессию, на которую ссылается Cookies.
После аутентификации удаленного пользователь попадает на страницу портала, которая позволяет получить доступ к SSL VPN сетям. Все запросы, отправляемые браузером включают аутентификацию Cookies.Страница портала предоставляет все ресурсы, имеющиеся во внутренней сети. Например, на странице портала удаленный пользователь может скачать и установить тонкий клиент Java апплет (для переадресации TCP-порт) или туннельный клиент.
| Плюсы | Минусы |
| Аппаратные модули шифрования | Немалая стоимость владения (приобретение, настройка, обслуживание) |
| Профессиональное стандартизированное производителем оборудование, использующееся для управления трафиком | |
| Быстрый и безопасный доступ к сети сервера | |
| Надежность и бесперебойность работы туннеля | |
| Высокий уровень обеспечения конфиденциальности данных за счет использования различных методов шифрования |
Таким образом, данное решение можно рекомендовать любым предприятиям, способным вложить определенное количество финансовых средств в развитие ИТ-инфраструктуры.
Подытожим характеристику рассмотренных способов подключения к удаленной серверной структуре в сравнительной таблице:
| Характеристика | RDP | OpenVPN | IPSEC |
| Стоимость внедрения | Невысокая | Невысокая. Используются недорогие устройства типа SOHO | Требует значительных финансовых вложений для покупки оборудования, внедрения и дальнейшей поддержки |
| Уровень безопасности передаваемых данных | Удовлетворительный | Удовлетворительный | Высокий |
| Уровень защищенности сервера | Защищен | Защищен | Защищен |
| Масштабируемость решения | Да | Нет | Да |
| Возможность доступа сеть-сеть | Нет | Да | Да |
| Надежность решения | Средняя | Средняя | Предусмотрены технологии резервирования |
| Промышленное (уровня Enterprise) решение | Нет | Нет | Да |
| Возможность использования в ограниченной среде (корпоративные фаерволы или фаерволы провайдера) | Нет | Нет | Да |
Таким образом, OpenVPN мы рекомендуем использовать в случаях, когда отсутствует централизованное место работы клиента, есть необходимость использования аппаратных ключей защиты или в случаях использования не профессионального оборудования типа SOHO в небольших организациях. IPSEC же предполагается использовать в средних и крупных организациях для построения надежных решений на основе профессионального оборудования с целью обеспечения бесперебойной и безопасной работы с информацией в режиме 24/7.
На текущий момент, в целях обеспечения информационной безопасности бизнеса клиентов, одним из первых этапов мы предлагаем провести аудит информационной безопасности.
