'

Безопасный удаленный доступ (мобильный офис)

Понравилась презентация – покажи это...





Слайд 0

Безопасный удаленный доступ (мобильный офис) Нужен ли удаленный доступ и как обеспечить его безопасность ? Stonesoft Russia


Слайд 1

Рыночные тренды


Слайд 2

Посмотрим на сотрудников Доступ с ноутбука вне рабочего места: презентации, совещания, встреча у клиента, из дома ….. Доступ в дороге : аэропорт, автомобиль (не зарулем ?), поезд ( через телефон), гостинница и др…- ноутбук ? Или?. Доступ в отпуске, из дома с домашнего компьютера, от клиента с чужого компьютера и др…. Доступ с коммуникатора: удобно получать почту мгновенно и на телефон сразу (или планшет) в любых условиях, особенно где нет кабинетных условий, например риелторы, страхователи и др … С точки зрения администратора , управление всеми этими типами доступа уже проблема, а еще партнеры и др….


Слайд 3

Типичная защита удаленного доступа Клиентское средство имеет впн клиент и антивирус или не защищено никак – есть только рекомендации на сайте …. В случае ссл доступа, Браузер подключается к сайту используя SSL соединение. Клиент аутентифицируется по сертификату с флешки ( в лучшем случае с токена), а часто просто пароль ….особенно если это айпад или что то подобное . На межсетевом экране прописаны ресурсы в виде сетевых адресов куда можно «ходить» ….. В лучшем случае используется IPS ( чаще нет) между шлюзом и ресурсами , с общими правилами … Доступ в почту с телефона или планшета – как правило настроенный агент Mail for exchange или Lotus traveler, а чаще всего просто IMAP и SMTP c устройства ! Лишняя дыра в безопасности !!!!


Слайд 4

Разные устройства – разные возможности безопасности Для компьютеров с windows имеется большой пул средств безопасности и анализа, однако и атак больше чем на другие системы Linux – уже проблема ( а какой именно линукс ???), слишком много дистрибутивов. Который безопасен? IPAD - чье устройство , какая политика безопасности на нем, не «сливает» ли это устройство данные куда то ? Android – это открытое устройство ? Какие программы на нем стоят? Какова политика безопасности ?


Слайд 5

Риски удаленного доступа Риски относящиеся к воровству данных аутентификации ( по каналу связи) – информация может быть перехвачена Физический неконтролируемый доступ к удаленным компьютерам – можно установить шпионское ПО Ограничения оборудования ( нет возможности воткнуть USB токен с секретным ключом . Доступ с неуправляемых удаленных устройств Чувствительная информация может случайно остаться на чужом устройстве Чувствительная информация может быть сохранена легитимным пользователем ( и оставлена) Риски анонимности Сложно понять с чего вообще осуществляется доступ, и соответственно применить политику безопасности. Пользователь может быть доверенным а на устройстве может быть шпионское ПО .


Слайд 6

Что Безопаснее?


Слайд 7

SSL VPN спроектирован для удаленного доступа Нет проблем с NAT Часто не требует клиента Если используется специальный агент – то как правило нет настроек со стороны клиента . Все равно через какую сеть подключается Как правило везде открыт доступ для SSL (443 порт) Очень просто поддерживать и управлять на клиентской части Строгая политика безопасности ( дается доступ только к тому что надо ) Пользователю проще работать ( портал ) Почему SSL VPN ?


Слайд 8

Что нужно для обеспечения безопасного доступа ? Обеспечить защищенное соединение (шифрованное) определить это свой пользователь ? Определить это свое ( доверенное ) устройство или нет ? Обеспечить безопасность удаленного устройства (NAC). Обеспечить аудит действий пользователя . Обеспечить возможность блокирования записи информации в несанкционированные места … Обеспечить разграничение доступа к ресурсам Обеспечить удаление информации на удаленном устройстве после окончания сеанса связи ( если надо ) обеспечить доступ с любых устройств ( по возможности)


Слайд 9

StoneGate SSL VPN Безопасный доступ с любых устройств Встроенная двух факторная аутентификация Интеграция с любыми каталогами и др. ( AD, LDAP, Oracle) Поддержка single sign-on & ID federation Интегрированное управление угрозами Только доверенные соединения . Анализ целостности и безопасности устройства Удаление «следов» работы пользователя. Гранулированное и гибкое управление доступом Авторизация на уровне приложений Концепция least privileges – только то что разрешено


Слайд 10

Концепция ААА – безнадежно устарела ? С StoneGate SSL VPN вы получаете намного больше: АААААA... ? Аутентификация (authentication) Авторизация (динамическая) (authorization) Оценка соответствия (динамическая) (assessment) Разграничение доступа (Access control) Туннелирование /защита трафика Удаление следов (abolish) Учет (accounting) Анализ (Auditing) Администрирование действий (Action rights)


Слайд 11

StoneGate SSL VPN позволяет ответить на вопросы : КТО получает доступ? Какие ресурсы аутентифицированному пользователю доступны ? С какого устройства он получает доступ ? Это ЧЕЛОВЕК или программа? Из какой сети он получает доступ ( например йота)? Обеспечивается ли безопасность на удаленном устройстве достаточным образом ? Можно на это устройство копировать информацию ?


Слайд 12

Разные уровни доступа При не прохождении отдельных видов тестов или доступе с неавторизованного устройства, доступ к ресурсам может быть ограничен политикой безопасности. файлы почта


Слайд 13

Различные уровни доступа


Слайд 14

Безопасность хоста Проверка наличия Firewall Анализ серийных номеров, запущеных процессов Проверка патчей OS, антивируса безопасность браузера Наличие Key logger? Проверка антивируса, других программ Проверки отсутствия IP-forwarding & network bridging Проверки специфичных файлов/процессов /сервисов/портов/приложений, ключей реестра Real time проверки подключаемого устройства SSL VPN Gateway Remote user Сервера приложений APP server Citrix Oracle Db File share Lotus MS Exchange SSH Server Web portal Безопасность обеспечивается динамически Определяет уровень безопасности устройства и дает нужные права доступа Активация Firewall


Слайд 15

Как нейтрализуются угрозы персональный файрвол используется в политиках по умолчанию и используется для защиты хоста при подключении к ресурсам . Добавляются дополнительные правила доступа если антивирус недоступен или не обновлен ( авторизация) Переподключение или новый анализ безопасности если это необходимо ( ЕСЛИ ПОЛИТИКА БЕЗОПАСНОСТИ НАРУШЕНА) Отключение в необходимых случаях, когда динамические проверки показывают несанкционированную деятельность пользователя


Слайд 16

Как нейтрализуются угрозы Если устройство анонимно : Запрет доступа в более конфиденциальные домены Сканирование устройства и реестра : Domain Membership; O/S Контроль целостности файлов и реестра Серийные номера HDD, Motherboard … Наличие нужных ключей реестра Проверка наличия нужных программ, запущенных процессов запреты на определенные действия, например на закачку файлов или их изменение


Слайд 17

Как нейтрализуются угрозы Критические данные удаляются Технологии удаления кеш и других областей Данные обрабатываются в «песочнице» Слежение за определенными файлами которые скачиваются на удаленное устройство.


Слайд 18

Сценарии доступа Web доступ через портал Доступ с использованием браузера к приложениям или ресурсам опубликованным на внутреннем защищенном портале Web доступ к файлам, почте и др. приложениям поддерживающим WEB Доступ приложения Обеспечивается доступ определенных (разрешенных) приложений на клиентском устройстве к ресурсам защищаемой сети Отсутствие настроек на клиентском месте, работа как в локальной сети Сетевой доступ (динамический туннель) Поддерживаются любые порты и приложения. . Доступ аналогичен использованию IPSEC клиента. Позволяет упростить конфигурации для неизученных приложений Позволяет передавать голос, видео …


Слайд 19

Как это работает ? Для клиента это выглядит как доступ на веб сайт - проще не бывает . Просто набираем сайт типа https:\\yoursite.ru Выбираем метод аутентификации, ввели аутентификационные данные и … попали в портал


Слайд 20

Как это работает ? Для работы с ресурсом нужно просто кликнуть нужную иконку и нужное приложение или ресурс откроется …. Подключение намного проще чем при соединении IPSec – пользователю не нужно управлять клиентом - только ввести свой пароль ( например одноразовый) и все - он получил доступ к ресурсам .


Слайд 21

Типичная установка SSL VPN TCP/443 (SSL) TCP/UDP (ANY) DMZ сервисы LDAP MS AD Oracle Novell Radius RSA Сервера приложений APP server Citrix Oracle Db File share Lotus MS Exchange SSH Server Web portal Типично шлюз устанавливается в DMZ компании. К нему открывается только доступ HTTP и HTTPS. Internet Соединения проводятся исключительно через SSL тунель со строгой аутентификацией


Слайд 22

Поддержка приложений Поддерживается большое количество приложений позволяя обеспечивать нативный доступ приложения к ресурсам сети


Слайд 23

Технология Active Sync Все кто имеет телефон или планшет знает что очень удобно иметь почту на телефоне, которая мгновенно синхронизируется. Как обеспечить безопасность ? Обычный подход – туннелирование – часто сложно обеспечить и часто медленная работа и глюки. Второй вариант – сделать дырку до сервера почты … StoneGate SSL - Нативная поддержка, Mail for exchange. Обеспечивает постоянный доступ приложений без участия пользователя


Слайд 24

Проблемы сертифицированных SSL VPN решений в настоящий момент все решения представлены криптопровайдерами . В правилах пользования всех криптопровайдеров написано – обеспечить анализ встраивания …. Нет реального шлюзового решения – есть только руководства как встроить в разные сервера ( Apache) нет сертификации ФСТЭК как решения Требуют доводки решения после встраивания до работоспособного состояния


Слайд 25

Сертификация Для полного соответствия Российскому законодательству SSL VPN прошел сертификацию ФСТЭК: Шлюз защиты удаленного доступа StoneGate SSL* – 3 класс МЭ (многокомпонентного), 1класс ПДн, 4 класс НДВ. В составе сертифицирована система многофакторной аутентификации! И ФСБ : Классы КС1 – КС2 ! Поддерживаются криптопровайдеры ( прописаны в сертификатах) : Криптопро, Валидата!


Слайд 26

Различные исполнения Сейчас доступно 8 исполнений по линии сертификации ФСБ ! 1. три исполнения шлюза SSL VPN Server. ( КС1 – КС2 а также вариант с устройством МАРШ). 2. Исполнение КС1 для сред Windows ( любых) и Linux ( широкий набор) 3. Исполнение КС2 – на изделии МАРШ , в средах Windows, Linux. 4. Исполнения КС3 ( скоро выход) – для среды Win XP и в перспективе для Win7. а также для шлюза доступа.


Слайд 27

Чем решение отличается от текущих решений SSL-GOST На рынке много решений SSL, которые сертифицированы ( библиотеки Криптопро, МагПро и другие) почувствуйте разницу : Масштабируемость до любых размеров ( до 32 шлюзов ) Поддержка работы приложений (туннель ) а не только браузер Работа на разных платформах с поддержкой приложений Мощная встроенная система двухфакторной аутентификации Single Sign On (SSO) Federated ID Анализ безопасности подключаемого устройства (security checks) End-Point защита (сканирования, персональный экран) Нет требования о контроле встраивания ! Готовое, сертифицированное решение !


Слайд 28

Комплексная безопасность- это просто .


×

HTML:





Ссылка: