Безопасный удаленный доступ(мобильный офис) презентация

его безопасность ?

Stonesoft Russia

у клиента, из дома …..
Доступ в дороге : аэропорт, автомобиль (не зарулем ☺), поезд ( через телефон), гостинница и др…- ноутбук ? Или?.
Доступ в отпуске, из дома с домашнего компьютера, от клиента с чужого компьютера и др….
Доступ с коммуникатора: удобно получать почту мгновенно и на телефон сразу (или планшет) в любых условиях, особенно где нет кабинетных условий, например риелторы, страхователи и др …
С точки зрения администратора , управление всеми этими типами доступа уже проблема, а еще партнеры и др….

или не защищено никак – есть только рекомендации
на сайте ….
В случае ссл доступа, Браузер подключается к сайту используя SSL соединение. Клиент аутентифицируется по сертификату с флешки ( в лучшем случае с токена), а часто просто пароль ….особенно если это айпад или что то подобное .
На межсетевом экране прописаны ресурсы в виде сетевых адресов куда можно «ходить» …..
В лучшем случае используется IPS ( чаще нет) между шлюзом и ресурсами , с общими правилами …
Доступ в почту с телефона или планшета – как правило настроенный агент Mail for exchange или Lotus traveler, а чаще всего просто IMAP и SMTP c устройства ! Лишняя дыра в безопасности !!!!

большой пул средств безопасности и анализа, однако и атак больше чем на другие системы
Linux – уже проблема ( а какой именно линукс ???), слишком много дистрибутивов. Который безопасен?
IPAD - чье устройство , какая политика безопасности на нем, не «сливает» ли это устройство данные куда то ?
Android – это открытое устройство ? Какие программы на нем стоят? Какова политика безопасности ?

связи) – информация может быть перехвачена
Физический неконтролируемый доступ к удаленным компьютерам – можно установить шпионское ПО
Ограничения оборудования ( нет возможности воткнуть USB токен с секретным ключом . Доступ с неуправляемых удаленных устройств
Чувствительная информация может случайно остаться на чужом устройстве
Чувствительная информация может быть сохранена легитимным пользователем ( и оставлена)
Риски анонимности
Сложно понять с чего вообще осуществляется доступ, и соответственно применить политику безопасности.
Пользователь может быть доверенным а на устройстве может быть шпионское ПО .

требует клиента
Если используется специальный агент – то как правило нет настроек со стороны клиента .
Все равно через какую сеть подключается
Как правило везде открыт доступ для SSL (443 порт)
Очень просто поддерживать и управлять на клиентской части
Строгая политика безопасности ( дается доступ только к тому что надо )
Пользователю проще работать ( портал )

Почему SSL VPN ?

определить это свой пользователь ?
Определить это свое ( доверенное ) устройство или нет ?
Обеспечить безопасность удаленного устройства (NAC).
Обеспечить аудит действий пользователя .
Обеспечить возможность блокирования записи информации в несанкционированные места …
Обеспечить разграничение доступа к ресурсам
Обеспечить удаление информации на удаленном устройстве после окончания сеанса связи ( если надо )
обеспечить доступ с любых устройств ( по возможности)

аутентификация
Интеграция с любыми каталогами и др. ( AD, LDAP, Oracle)
Поддержка single sign-on & ID federation
Интегрированное управление угрозами
Только доверенные соединения .
Анализ целостности и безопасности устройства
Удаление «следов» работы пользователя.
Гранулированное и гибкое управление доступом
Авторизация на уровне приложений
Концепция least privileges – только то что разрешено

получаете намного больше: АААААA... ☺
Аутентификация (authentication)
Авторизация (динамическая) (authorization)
Оценка соответствия (динамическая) (assessment)
Разграничение доступа (Access control)
Туннелирование /защита трафика
Удаление следов (abolish)
Учет (accounting)
Анализ (Auditing)
Администрирование действий (Action rights)

ресурсы аутентифицированному пользователю доступны ?
С какого устройства он получает доступ ?
Это ЧЕЛОВЕК или программа?
Из какой сети он получает доступ ( например йота)?
Обеспечивается ли безопасность на удаленном устройстве достаточным образом ?
Можно на это устройство копировать информацию ?

с неавторизованного устройства, доступ к ресурсам может быть ограничен политикой безопасности.

файлы

почта

OS, антивируса

безопасность браузера

Наличие Key logger?
Проверка антивируса, других программ

Проверки отсутствия IP-forwarding & network bridging

Проверки специфичных файлов/процессов /сервисов/портов/приложений, ключей реестра

Real time проверки подключаемого устройства

SSL VPN Gateway

Remote user

Сервера приложений
APP server
Citrix
Oracle Db
File share
Lotus
MS Exchange
SSH Server
Web portal

Безопасность обеспечивается динамически

Определяет уровень безопасности устройства и дает нужные права доступа

Активация Firewall

для защиты хоста при подключении к ресурсам .
Добавляются дополнительные правила доступа если антивирус недоступен или не обновлен ( авторизация)
Переподключение или новый анализ безопасности если это необходимо ( ЕСЛИ ПОЛИТИКА БЕЗОПАСНОСТИ НАРУШЕНА)
Отключение в необходимых случаях, когда динамические проверки показывают несанкционированную деятельность пользователя

домены
Сканирование устройства и реестра :
Domain Membership; O/S
Контроль целостности файлов и реестра
Серийные номера HDD, Motherboard …
Наличие нужных ключей реестра
Проверка наличия нужных программ, запущенных процессов
запреты на определенные действия, например на закачку файлов или их изменение

областей
Данные обрабатываются в «песочнице»
Слежение за определенными файлами которые скачиваются на удаленное устройство.

ресурсам опубликованным на внутреннем защищенном портале
Web доступ к файлам, почте и др. приложениям поддерживающим WEB
Доступ приложения
Обеспечивается доступ определенных (разрешенных) приложений на клиентском устройстве к ресурсам защищаемой сети
Отсутствие настроек на клиентском месте, работа как в локальной сети
Сетевой доступ (динамический туннель)
Поддерживаются любые порты и приложения. .
Доступ аналогичен использованию IPSEC клиента.
Позволяет упростить конфигурации для неизученных приложений
Позволяет передавать голос, видео …

веб сайт - проще не бывает .
Просто набираем сайт типа https:\\yoursite.ru
Выбираем метод аутентификации, ввели аутентификационные данные и … попали в портал

нужную иконку и нужное приложение или ресурс откроется ….

Подключение намного проще чем при соединении IPSec – пользователю не нужно управлять клиентом - только ввести свой пароль ( например одноразовый) и все - он получил доступ к ресурсам .

AD
Oracle
Novell
Radius
RSA

Сервера приложений
APP server
Citrix
Oracle Db
File share
Lotus
MS Exchange
SSH Server
Web portal

Типично шлюз устанавливается в DMZ компании. К нему открывается только доступ HTTP и HTTPS.

Internet

Соединения проводятся исключительно через SSL тунель со строгой аутентификацией

ресурсам сети

удобно иметь почту на телефоне, которая мгновенно синхронизируется. Как обеспечить безопасность ?
Обычный подход – туннелирование – часто сложно обеспечить и часто медленная работа и глюки.
Второй вариант – сделать дырку до сервера почты

…

StoneGate SSL - Нативная поддержка, Mail for exchange.

Обеспечивает постоянный доступ приложений без участия пользователя

криптопровайдерами .
В правилах пользования всех криптопровайдеров написано – обеспечить анализ встраивания ….
Нет реального шлюзового решения – есть только руководства как встроить в разные сервера ( Apache)
нет сертификации ФСТЭК как решения
Требуют доводки решения после встраивания до работоспособного состояния

защиты удаленного доступа StoneGate SSL* – 3 класс МЭ (многокомпонентного), 1класс ПДн, 4 класс НДВ.
В составе сертифицирована система многофакторной аутентификации!
И ФСБ :
Классы КС1 – КС2 !
Поддерживаются криптопровайдеры ( прописаны в сертификатах) : Криптопро, Валидата!

три исполнения шлюза SSL VPN Server. ( КС1 – КС2 а также вариант с устройством МАРШ).
2. Исполнение КС1 для сред Windows ( любых) и Linux ( широкий набор)
3. Исполнение КС2 – на изделии МАРШ , в средах Windows, Linux.
4. Исполнения КС3 ( скоро выход) – для среды Win XP и в перспективе для Win7. а также для шлюза доступа.

которые сертифицированы ( библиотеки Криптопро, МагПро и другие)
почувствуйте разницу :
Масштабируемость до любых размеров ( до 32 шлюзов )
Поддержка работы приложений (туннель ) а не только браузер
Работа на разных платформах с поддержкой приложений
Мощная встроенная система двухфакторной аутентификации
Single Sign On (SSO) Federated ID
Анализ безопасности подключаемого устройства (security checks)
End-Point защита (сканирования, персональный экран)
Нет требования о контроле встраивания !
Готовое, сертифицированное решение !