Современный бизнес предъявляет повышенные требования к уровню доступности корпоративных ресурсов и, как бы странно это ни звучало, собственного персонала в любой момент вне зависимости от местоположения. Однако возрастает не только число сотрудников, чьи профессиональные обязанности требуют мобильности, но и количество приложений, к которым необходимо обеспечивать доступ, и типы пользовательских устройств. Как не заблудиться во всем этом многообразии и создать оптимальное решение, наилучшим образом соответствующее задачам и потребностям конкретной организации?
Пока еще не очень продолжительная история концепции вring your own device (BYOD) в России не лишена налета таинственности, тем не менее ее популярность уже не подвергается сомнениям. Примерно 70–80% отечественных компаний так или иначе реализуют у себя элементы различных сценариев BYOD. Однако официальной статистики нет, так как большинство компаний сами себя к числу внедривших BYOD не причисляют. Вместе с тем, по оценкам наших специалистов, число запросов на решения, предназначенные для обеспечения безопасности при реализации BYOD, по сравнению с 2012 годом выросло как минимум вдвое. Следовательно, как бы бизнес ни открещивался от причастности к внедрению BYOD, эта концепция (более известная как «реализация безопасного мобильного доступа») уверенно набирает обороты.
Уважительная причина для BYOD
Организация удаленного и мобильного доступа к корпоративным ресурсам — одна из наиважнейших задач сегодняшних служб ИТ и информационной безопасности. И это не случайно. Во-первых, сказывается «повальная мобилизация» общества, сопровождающаяся ростом числа мобильных устройств, их разнотипностью и, как следствие, разнообразием использующихся операционных систем. Понятно, что и бизнес, зачастую гораздо более «мобилизованный», хочет использовать собственные гаджеты не только для доступа в Интернет или просмотра общедоступной информации, но и для работы с корпоративными приложениями. В этом случае соответствующие проекты стартуют по инициативе сверху, что чревато, например, недостаточной проработкой вопросов безопасности. Обычно это связано с некоторой рассогласованностью действий ИТ и ИБ и со сжатыми сроками подобных проектов.
Во-вторых, тенденцию BYOD подстегивает и стремление к оптимизации расходов. Вывод части сотрудников за пределы офиса становится все более распространенной практикой, позволяющей сократить расходы на аренду помещений, покупку и администрирование парка офисной техники. Например, по такому принципу может быть организована работа контакт-центра, когда сотрудники, используя свои собственные компьютеры, через VPN получают доступ к приложениям, которые расположены в ЦОД работодателя.
В-третьих, не стоит забывать и о том, что «аппетит приходит во время еды». Часто пользователи, оценив удобство работы с помощью мобильных устройств с ограниченным кругом приложений, принимают решение о расширении их спектра. А это, в свою очередь, приводит к развитию уже запущенных проектов в русле концепции BYOD или запуску новых.
Три дороги для мобильного доступа
Основная цель реализации элементов BYOD — формирование набора механизмов безопасности, оптимального для используемого сценария доступа. Успешность организации безопасного мобильного доступа во многом зависит от детального понимания реализуемого сценария, от точных ответов на вопросы, кому необходимо предоставлять доступ, с каких устройств и к каким приложениям.
Можно выделить несколько востребованных сегодня сценариев, позволяющих наиболее эффективно решать существующие бизнес-задачи. С технической точки зрения BYOD может строиться с помощью различных подсистем. Это могут быть системы управления мобильными устройствами (Mobile Device Management, MDM), контроля доступа к сети (Network Access Control, NAC), усиленной аутентификации и защиты каналов связи (VPN). При этом решения выбираются с учетом текущей инфраструктуры и общей направленности ИТ-политики компании, а варианты построения защиты — в соответствии с требуемым сценарием. Например, организация удаленной работы с веб-приложениями через шлюз SSL-VPN, централизованное управление политиками доступа к корпоративной сети с использованием NAC или унификация доступа путем виртуализации рабочих мест (Virtual Desktop Infrastructure, VDI). Наиболее острой на сегодняшний день является тема шифрования передаваемой по открытым каналам информации при удаленном доступе. К сожалению, вопрос о возможности использования сертифицированных ФСБ России криптосредств пока остается открытым.
Не стоит забывать, что со временем перечень поставленных бизнесом задач может расшириться и в ряде случаев это способно привести к полной замене или существенной модернизации решения. Поэтому тему масштабируемости выбранного решения также не стоит сбрасывать со счетов.
Работа с доставкой на дом
Пришедшая с Запада концепция удаленной работы сегодня активно вживается в нашу действительность — все большее число компаний рассматривают ее применительно к своему бизнесу. В этом случае сотрудникам предоставляется доступ к четко ограниченному перечню приложений, причем осуществлять его возможно только с тех устройств (компьютеров, ноутбуков, планшетов), которые соответствуют определенным корпоративным требованиям.
Одним из вариантов реализации такого сценария может быть использование специализированных шлюзов (см. рис. 1), позволяющих публиковать корпоративные приложения, обеспечивать механизмы защиты каналов связи и дающих возможность контролировать пользовательские устройства. Основной упор при этом делается на максимальное удобство работы пользователя и отсутствие необходимости устанавливать дополнительное ПО на устройства. Специализированный шлюз позволяет осуществлять полное туннелирование передаваемых данных с помощью IPSec/SSL VPN, оценивать состояние защищенности абонентского устройства, публиковать корпоративные приложения. Если же для доступа планируется использовать различные устройства, в том числе мобильные, то решение может быть дополнено такими компонентами, как MDM, либо специализированными агентами, контролирующими пользовательское устройство при подключении.
Такая схема выгодна в первую очередь экономически. Во-первых, исключаются затраты на организацию полноценного рабочего места, так как для работы сотрудники используют свои собственные устройства. Во-вторых, на рабочие станции пользователей практически ничего не устанавливается. Проводятся лишь проверки на наличие антивирусов и необходимых обновлений при каждом подключении, тем самым ощутимо сокращаются затраты на администрирование. Дополнительным плюсом данной «конструкции» является ее масштабируемость — число обслуживаемых мест может изменяться в соответствии с бизнес-потребностями в сжатые сроки.
В офисе и в командировке
В основе следующего сценария, позволяющего расширять список допустимых типов пользовательских устройств и приложений, лежит принцип безопасной мобильности. Например, персонал получает возможность использовать одновременно и корпоративные, и собственные устройства (включая планшеты и смартфоны). При этом доступ предоставляется не только к электронной почте и веб-приложениям, но и к приложениям, требующим установки агентов на пользовательские устройства. Такая вариативность достигается благодаря гибкому управлению правами доступа на уровне корпоративной сети.
Ядром такого решения является NAC — сервер управления политиками доступа, позволяющий централизованно авторизовать пользователей при подключении к корпоративной сети, как показано на рис. 2. С его помощью можно классифицировать устройства и пользователей с учетом контекста, управлять политиками доступа, оценивать состояние защищенности подключаемых устройств, организовывать гостевой доступ и т. д. К числу безусловных плюсов NAC можно отнести его «коммуникабельность» по отношению к любым устройствам.
Предоставление доступа в этом случае сводится к разделению прав доступа в зависимости от способа подключения и используемых устройств. Например, сотрудник, находящийся на своем рабочем месте и использующий корпоративное устройство, обладает максимально расширенными правами. Если же он подключается к корпоративной сети со своего личного устройства (пусть и не выходя за пределы офиса), его права доступа сокращаются. Аналогично урезаются права доступа и при удаленном подключении. Если же для доступа используются мобильные устройства, то в качестве одного из основных компонентов в игру вступает решение класса MDM.
Основной плюс этого подхода — профилирование устройств: можно использовать различные устройства со всевозможными операционными системами. NAC их будет опознавать и «нарезать» права доступа в соответствии с заранее настроенными политиками безопасности. Например, если подключаемый пользователь не обновил антивирус (или у него его вообще нет), NAC это выявит, определит степень критичности несоответствия и ограничит доступ. После обновления или установки антивируса попытка подключения может быть повторена.
Виртуальность — значит, безопасность?
Третий подход предусматривает создание полноценного удаленного рабочего места при использовании разнообразных устройств. При этом обеспечивается удаленная работа с важными корпоративными приложениями и сервисами: CRM, ERP, файловыми хранилищами, средами совместной работы, электронной почтой. Такой унифицированный доступ может быть реализован на базе инфраструктуры виртуальных VDI (см. рис. 3). Использование VDI — наиболее защищенная реализация BYOD, поскольку на устройстве данные фактически не обрабатываются. Что важно, при этом сохраняют свою актуальность усиленная парольная политика и использование решений класса MDM, так как возможность доступа с мобильных устройств сохраняется.
К числу безусловных преимуществ данного подхода относятся обеспечение доступа к «тяжелым» приложениям, недоступным для запуска на устройстве, и централизованная защита виртуальных рабочих мест, что исключает необходимость установки дополнительной защиты на устройства.
BYOD на любую фигуру
Таким образом, на сегодняшний день, задумываясь о реализации как концепции BYOD в целом, так и ее элементов, российские компании могут решать целый спектр задач. В их числе обеспечение контроля собственных мобильных устройств, администрирование и поддержка удаленных работников, предоставление защищенного доступа с домашних компьютеров и контролируемого гостевого доступа, динамическое управление политиками доступа с учетом контекстного анализа, выполнение требований регуляторов.
При этом не вполне верно говорить о наличии оптимального решения, которое позволит с высокой степенью эффективности «закрыть» все многообразие задач. В каждом конкретном случае набор механизмов обеспечения ИБ, позволяющих, с одной стороны, нивелировать актуальные угрозы, а с другой — избежать избыточности функционала, различен. Ключевое значение приобретает определение актуальных угроз, связанных с категориями пользователей, типами используемых устройств и приложений. Их верная и своевременная оценка позволит из имеющегося портфеля решений, как из коробки с кубиками, собирать системы защиты с высоким уровнем кастомизации. При этом снижается риск неоправданного использования «тяжелых» решений, которые при высоком уровне затрат на внедрение будут использоваться далеко не в полную силу, но исключается возможность использования коробочного решения, которое, будучи недостаточно гибким, не сможет гарантированно закрыть специфические угрозы.
• Юрий Черкас, руководитель направления инфраструктурных ИБ-решений Центра информационной безопасности компании «Инфосистемы Джет»; ycherkas@jet.msk.su