Verslo aplinkoje vis dažniau reikia pasiekti verslo informaciją iš bet kur ir bet kada. Todėl darbuotojai vertina informacijos paieškos priemonių lankstumą ir patogumą. Verslo procesą pagreitina galimybė naudotis verslo informacija ne tik darbo vietoje, bet visur, kai atsiranda toks poreikis. Nuotolinio prisijungimo prie įmonės IT resursų galimybės, suteikiamos tiek darbuotojams, tiek verslo partneriams, padidina IT investicijų grąžą. Nuotolinė prieiga, grindžiama šiame straipsnyje pristatoma EMCADS technologija, užtikrina saugumą, patogų vartotojų prieigos administravimą ir leidžia sumažinti su IT saugumu susijusius kaštus.
Įmonių ir organizacijų saugumo politika paprastai apibrėžia, kam, iš kur ir prie kokių IT resursų suteikiama nuotolinė prieiga. Verslo sektoriuje, kur informacija yra svarbi ir neretai labai brangi, darbuotojams, klientams ar partneriams leisti jungtis prie tokios informacijos iš bet kur ir bet kada yra rizikinga, tačiau visiškai apsieiti be nuotolinės prieigos yra neįmanoma. Nuotolinės prieigos saugumo politikai įgyvendinti būtina spręsti penkis uždavinius:
- atpažinti vartotoją;
- apsisaugoti nuo įrenginio, iš kurio jungiamasi;
- apsaugoti duomenis juos perduodant;
- riboti (filtruoti) tinklo prieigą;
- valdyti vartotojų teises ir nuotolinės prieigos apskaitą (kontroliuoti IT resursus)
Išvardytiems uždaviniams spręsti yra didelis techninių ir programinių priemonių pasirinkimas, tačiau jų sprendimas tradicinėmis priemonėmis pakankamai sudėtingas, brangus, reikalauja įvairių priemonių derinimo, sudėtingas yra jų administravimas.
EMCADS (angl. Encrypted Multipurpose Content and Application Deployment System) – kliento serverio architektūros technologija, kurią 2005 metais sukūrė ir užpatentavo Giritech kompanija. EMCADS pagrindą sudaro abipusiai saugūs koduoto turinio apsikeitimo ir jo atvaizdavimo nutolusiuose taškuose metodai. Pirmame paveikslėlyje pavaizduota, kaip šie penki saugumo politikos užtikrinimo uždaviniai yra kompleksiškai sprendžiami naudojant G/On produktą, kuris realizuotas EMCADS technologijos pagrindu.
1 pav. Saugumo užtikrinimo uždavinių sprendimas
Vartotojų atpažinimas
Populiariausias vartotojų atpažinimo sprendimas yra slaptažodžių kortelė ar vienkartinių slaptažodžių generatorius. Naudojantis tokiomis priemonėmis, atpažinimas vykdomas dviem lygiais – įvedant prisijungimo vardą bei slaptažodį (ką žmogus žino) ir naudojantis slaptažodžių kortele ar generatorium (ką žmogus turi). Nors tai yra geriau, nei tik vieno požymio atpažinimas, pvz., prisijungimo vardo ir slaptažodžio, tačiau tai neapsaugo vartotojų nuo vadinamųjų „phishing“ atakų, kai vartotojas apgaule skatinamas prisijungti prie suklastoto serverio, ir tokiu būdu atskleidžiami prisijungimo vardas, slaptažodis, vienkartiniai slaptažodžiai bei kita svarbi informacija.
EMCADS technologija užtikrina abipusį kliento ir serverio dviejų lygių atpažinimą, paremtą unikaliu raktu, vartotojo prisijungimo vardu ir slaptažodžiu. Tokiu būdu jungimasis vyksta tik prie originalaus serverio ir yra leidžiamas tik atpažintiems vartotojams. Be unikalaus rakto ryšio sesija net nepradedama, kai slaptažodžių generatoriaus atsakymas arba slaptažodis iš slaptažodžių kortelės gali būti panaudojami be vartotojo žinios. Unikaliu raktu gali būti USB raktas, SIM, „SmartCard“ kortelė ir pan.
Be minėtų dviejų identifikavimo faktorių „ką vartotojas žino“ ir „ką vartotojas turi“ gali būti naudojamas ir trečias identifikavimo faktorius – „kas vartotojas yra“. Tai vadinamieji biometriniai identifikatoriai – pirštų atspaudai, akių rainelė ir pan.
Apsauga nuo jungimosi įrenginio
Čia svarbūs du faktoriai – pirma, turi būti užtikrinama, kad jungimosi įrenginys (nešiojamas, delninis kompiuteris, mobilusis telefonas ir pan.) nėra pavojingas (be virusų, „Trojos arklių“, šnipinėjimo programų (spyware) ir kt.), antra, turi būti užtikrinama, kad įrenginyje nepaliekami jokie duomenys, kuriais pasinaudojus IT tinklas galėtų būti pažeistas vėliau.
Tradiciškai šios problemos sprendžiamos leidžiant vartotojams jungtis prie įmonės resursų tik iš įmonei ar organizacijai priklausančio bei IT skyriaus administruojamo kompiuterio. EMCADS atveju jungimosi įrenginiui sukuriama virtuali jungtis su tinklo resursais, o pats įrenginys netampa tinklo dalimi ir nekelia grėsmių vidiniam tinklo saugumui. Net ir jungiantis iš nesaugaus ar nekontroliuojamo įrenginio, virusai, šnipinėjimo programos ar „Trojos arkliai“ nepatenka į vidinį įmonės tinklą.
Duomenų apsauga juos perduodant
Tradicinis sprendimas – virtualusis privatus tinklas (angl. Virtual Private Network, VPN). Yra du pagrindiniai VPN tipai: IPSec VPN ir SSL VPN. Abiems VPN tipams naudoti reikalingos programinės įrangos licencijos ir techninės priemonės.
EMCADS užtikrina geresnę nei VPN duomenų apsaugą: koduoja perduodamus duomenis patikimu 256 bitų AES (Advanced Encryption System) algoritmu, duomenys siunčiami dalimis su kontrolinėmis sumomis, o kontrolinei sumai nesutapus, ryšio sesija nutraukiama.
Tinklo prieigos ribojimas
Pagrindinė priemonė, ribojanti tinklo prieigą ir apsauganti tinkle esančius IT resursus, yra užkarda. Joje nurodoma, kurios jungtys yra atviros prieigai prie tinklo resursų. Kuo daugiau paliekama atidarytų jungčių, tuo didesnis neleistinos prieigos prie tinklo resursų pavojus. Saugumui padidinti paprastai naudojamos įsiveržimo atpažinimo ir prevencijos sistemos.
Tinklo prieigai prie EMCADS serverio reikalinga tik viena užkardos jungtis. Per šią jungtį saugiai pasiekiami visi reikalingi ir leidžiami IT resursai įmonės tinkle. Pats EMCADS serveris yra „tylus“ – jis atsiliepia tik į atpažintus ir tapatybę patvirtinusius vartotojus.
Vartotojų teisių valdymas
Pagaliau yra svarbu kontroliuoti, kokiais resursais vartotojas gali naudotis, kai jis jau yra prisijungęs prie IT tinklo. Didelę pažeidimų dalį padaro teisėti vartotojai, kurie IT tinkle prisijungia prie jiems neleistinų resursų.
Tradiciškai tai yra sprendžiama nustatant ir valdant vartotojų teises. Dažnai dėl didesnio saugumo reikalaujama įvesti papildomus slaptažodžius. Tačiau tai yra apsunkinimas tiek vartotojams, tiek IT padaliniui. Be vartotojų teisių valdymo yra svarbu turėti visą informaciją, kas, kada ir kokiais resursais naudojosi.
EMCADS dėka vartotojams yra prieinami tik jiems leistini resursai. Resursų naudojimas (kas, kada ir prie kokių resursų jungėsi) detaliai fiksuojamas jungimosi žurnale.
Be minėtų saugumo politikos įgyvendinimo uždavinių dar viena svarbi EMCADS technologijos ypatybė yra jos pritaikymas IT infrastruktūroje (2 pav.). Ši technologija leidžia supaprastinti IT infrastruktūrą, atsisakant daugelio papildomų saugumą užtikrinančių priemonių, nes jos iš anksto numatytos EMCADS technologijoje.
Paprastesnė IT tinklo infrastruktūra yra ne tik pigesnė, bet ir lengviau administruojama. Bendras įmonės IT tinklo bei resursų saugumas padidinamas sumažinus galimų žmogiškų klaidų, gedimų bei atakų taškų skaičių.
Matyti kelios bendros IT vystymosi tendencijos. Visų pirma, tai nepaliaujamai augantis interneto naudojimas, leidžiantis naudotis programine įranga kaip paslauga. Kita tendencija yra ta, kad vis daugiau įrenginių, pradedant mobiliaisiais telefonais, gauna interneto prieigą. Visa tai lemia, kad poreikis pasiekti reikiamą informaciją bet kur ir bet kada, kartu užtikrinant duomenų saugumą, tik didės.
Parengta bendradarbiaujant su „Giritech Baltic“.