Защита корпоративных данных, организация доступа к ним удаленных сотрудников
Бизнес многих компаний, даже небольших, уже давно не сосредоточен в одном офисе. Для эффективной работы региональные филиалы и удаленные сотрудники требуют постоянной координации действий с другими подразделениями компании.
В такой ситуации важное значение приобретает сохранность данных, передаваемых между территориально разнесенными подразделениями. Потеря важной для бизнеса информации может обернуться колоссальными убытками. Среди ключевых рисков можно выделить следующие:
- перехват данных, передаваемых по открытым каналам;
- получение информации при утере/краже носителей и оборудования сотрудников.
Минимизировать риски можно сократив количество информации, которая хранится локально на компьютерах сотрудников, покидающих периметр безопасности компании, и исключив возможность доступа к корпоративным базам знаний по незащищенным каналам связи.
Очевидно, что наилучшим видом хранения, защиты и доступа к информации является ее размещение на корпоративных сетевых ресурсах. Присоединить территориально разнесенные филиалы и отдельных сотрудников, находящихся в командировке, к периметру безопасности сети призвана технология виртуальных частных сетей (VPN).
Описанная схема является классической частной сетью предприятия – интрасетью, призванной обеспечить безопасный централизованный доступ к корпоративной бизнес-информации.
В зависимости от применяемых протоколов и назначений VPN может обеспечивать соединения трех видов: сеть-сеть, узел-сеть и узел-узел. Для нужд объединения в общую сеть удаленных филиалов и отдельных сотрудников, находящихся вне офисов, применимы следующие виды:
сеть-сеть (Intranet VPN). Применяется для объединения в общую защищенную сеть нескольких распределенных филиалов одной организации, обменивающихся данными по открытым каналам связи.
узел-сеть (Remote Access VPN). Используется для присоединения к сети одиночного пользователя, который подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоскa.
Подробно принципы построения сетей VPN описаны в статье «Шифрование данных средствами Microsoft SQL Server»
Инфраструктура открытого ключа. Комплексное решение для защиты информации и разграничения прав доступа к ней
В случае активного обмена важной информацией, кажется разумным подтверждать личность пользователей. Как общегражданские паспорта подтверждают личность их владельца в реальном мире, так инфраструктуры открытого ключа (PKI, public key infrastructure) позволяют подтвердить личность в интерактивном мире. Для большинства компаний средства PKI быстро становятся основой технологии защиты информации.
Инфраструктура открытого ключа (PKI) является комплексным средством обеспечения безопасности обмена информацией. Задачи, решаемые этим инструментом следующие:
- обеспечение механизма строгой аутентификации;
- организация защищенного обмена электронной почтой;
- организация виртуальных частных сетей (VPN) для защищенных соединений удаленных пользователей и филиальных сетей организации;
- организация защищенных порталов (доступ через Интернет), систем разграничения доступа к сайтам, порталам и приложениям.
PKI основана на паре ключей: один из них доступен всем, другой держится в секрете. Ключи независимы, но связаны математически, что дает им асимметричные свойства, т. е. любые данные, зашифрованные одним ключом, могут быть расшифрованы другим.
Ключ пользователя может иметь различные виды. Это может быть как файл-криптоконтейнер на носителе, так и USB-брелок или смарт-карта, содержащая ключ. Для дальнейшей работы с PKI на компьютере пользователя должно быть установлено программное обеспечение для работы с ключом.
Большинство производителей смарт-карт и токенов разрабатывают собственное ПО для работы с ключами и сертификатами. Такое ПО называют криптопровайдерами. Криптопровайдер обеспечивает работу приложений с криптографическими операциями. Проще говоря, это посредник между приложениями и сертификатами или ключами. Приложение, осуществляющее VPN-подключение, может использовать сертификат PKI именно посредством криптопровайдера.
На следующем этапе, VPN-шлюз должен удостовериться, имеет ли пользователь, представившийся сертификатом PKI, право на доступ к сети. Способов проверки может быть несколько. В простейшем случае, центром сертификации может выступать сам шлюз и дополнительных этапов в проверке валидности ключа не требуется.
Однако, схема может быть усложнена. Шлюзов может быть несколько в разных регионах. Пользователи подключаются к ним, выбирая по принципу наименьшей задержки. Шлюзы уточняют правомерность доступа у Центра Сертификации внутри интрасети (или цепочки ЦС, если один не в состоянии обработать все запросы, связанные с обслуживанием сертификатов).
Преимущества и недостатки описанного решения. Рекомендации по уменьшению рисков применения
| Преимущества | Недостатки |
| Не нужно предварительно передавать секретный ключ по надежному каналу | Сравнительно невысокая скорость работы с зашифрованными данными |
| Универсальность решения для аутентификации на корпоративных ресурсах и применения ЭЦП в документообороте | Невозможность авторизации при утере закрытого ключа, необходимость ожидания перевыпуска ключа доверенным центром сертификации |
| Двухфакторная аутентификация с помощью сертификата PKI и пароля надежнее защищает от несанкционированного доступа, чем использование только парольной защиты | При краже закрытого ключа злоумышленник имеет возможность представиться его обладателем. Потерявшему ключ необходимо время для сообщения и отзыва ключа |
При всех перечисленных удобствах и преимуществах инфраструктуры открытых ключей, стоит обратить внимание и на ее недостатки. Наличие закрытого ключа может позволить злоумышленнику, осуществившему успешную атаку на центр сертификации, выдать себя за любого из обладателей закрытых ключей этого ЦС.
Однако, организация комплекса мер, направленного защиту закрытых ключей пользователей от хищения, подмены и взлома, ограничение доступа к ЦС только для интрасети, может существенно снизить риски утери данных.
