Строгая аутентификация при удаленной работе с корпоративными ресурсами (часть 2).
Аутентификация по паролям и цифровым сертификатам
Для подключения удалённого рабочего места пользователя к корпоративной сети организации необходимо установить на компьютер сотрудника CSP VPN Client. Данное ПО предназначено для обеспечения защищенного сетевого взаимодействия с использованием российской криптографии в рамках международного стандарта IPsec. При этом в качестве VPN-сервера выступают маршрутизаторы серии Cisco® 2800 и 3800 Integrated Services Routers с установленным модулем NME-RVPN.
Несмотря на реализованную возможность использования паролей для аутентификации пользователей, такой режим работы крайне не рекомендуется. Обеспечиваемый парольной защитой уровень безопасности во многих случаях оказывается неприемлемым даже при работе сотрудников в локальной сети организации. Использование открытых каналов связи ещё более ужесточает требования к степени защищённости как самого канала связи, так и первоначальной процедуры установления соединения, в ходе которой происходит аутентификация подключаемого пользователя.
Вариант использования цифрового сертификата, хранящегося вместе с закрытым ключом пользователя в реестре операционной системы (или просто на жёстком диске компьютера), в определённом смысле ещё более уязвим, чем обычный пароль. Домашний компьютер, используемый не только в рабочих целях, и ноутбук сотрудника, регулярно находящийся вне контролируемой зоны, подвержены высокому риску заражения вредоносным программным обеспечением. Современный типы вредоносного кода – трояны и шпионские приложения – с лёгкостью могут скопировать закрытый ключ пользователя и переслать его злоумышленнику. Конечно, на практике такой метод чаще используется для атак на программное обеспечение клиент-банков, но при высокой степени мотивации злоумышленника не исключена вероятность подобной атаки и с целью получения доступа в корпоративную сеть, например, компании-конкурента.
Не следует также забывать о высокой вероятности кражи мобильного компьютера сотрудника, характер работы которого предполагает частые командировки и разъездной режим работы. При хранении закрытого ключа на жёстком диске вместе с ноутбуком злоумышленник может получить практически свободный доступ в корпоративную сеть.
Наиболее распространённым и безопасным вариантом подключения к корпоративной сети при использовании упомянутого CSP VPN Client является предварительное размещение в защищённой памяти ключа eToken закрытого ключа пользователя и политик безопасности (опционально). При таком подходе риск компрометации минимален, т.к. для доступа к памяти eToken требуется не только обладать самим токеном, но и знать PIN-кода от него. Метод подбора PIN-кода в этом случае неэффективен в силу аппаратного ограничения количества попыток его ввода. Вторым преимуществом этого варианта аутентификации является мобильность сотрудника. Благодаря хранению ключевого материала и политик доступа на USB-ключе, пользователь получает возможность подключаться не только со своего преднастроенного администратором ПК, но и с любого компьютера организации, например, с ноутбука коллеги в совместной командировке.
Аутентификация с использованием одноразового пароля
Наличие в продуктовой линейке компании Aladdin специальных моделей eToken PASS и eToken NG-OTP, а также поддержка в решениях компаний Cisco и S-Terra современных протоколов защищённого соединения позволяет выполнять аутентификацию пользователя с помощью одноразовых паролей. Как и любые другие пароли, одноразовые (т.е. действительные только один раз) пароли подвергаются риску перехвата их злоумышленником, в связи с чем, до прохождения процедуры аутентификации пользователя необходимо установить защищённое соединение, например, с использованием протокола SSL (Secure Socket Layer). Важной особенностью такого способа удалённого доступа является возможность полностью мобильной работы с любого рабочего места, где бы ни оказался сотрудник. Достигается это за счёт односторонней аутентификации сервера по цифровому сертификату и установления защищённого соединения, уже в рамках которого пользователь вводит для аутентификации одноразовый пароль, сгенерированный устройством. Вариант с двусторонней аутентификацией по протоколу SSL сервера и пользователя и последующим вводом одноразового пароля на практике используется редко, т.к. в этом случае требуется установка на рабочее место пользователя сертификата и закрытого ключа, что для временных рабочих мест нецелесообразно. Одним из вариантов применения комбинации сертификата пользователя и одноразового пароля является работа сотрудника с мобильного устройства (коммуникатор, смартфон), не оснащённого USB-разъёмом. Стоит также отметить, что протокол SSL и аутентификация с применением одноразовых паролей чаще всего используется для удалённого доступа к Web-ресурсам, однако, на практике возможны и иные варианты применения.
Важно упомянуть, что имеющиеся в арсенале технологических партнёров Aladdin и S -Terra решения по централизованному управлению (например, уже упоминавшаяся система eToken TMS со специально разработанным коннектором) позволяют эффективно решать задачи массового развёртывания программного обеспечения CSP VPN Client на рабочих компьютерах мобильных пользователей с автоматическим формированием политики доступа к ресурсам сети, а так же централизованной генерации ключевой информации, выдачи и обновления сертификатов пользователей, размещённых в памяти ключей eToken.
Рассмотренные подходы по совместному использованию решений компании Aladdin, Cisco и S-Terra способны существенно усилить защищенность и управляемость системы в целом за счёт возможностей двухфакторной аутентификации, прозрачного администрирования средств безопасности в рамках системы на стороне организации и пользователя, работающего в удаленном режиме.
О соответствии требованиям регуляторов
В силу принятия ряда законодательных инициатив, одно из первых мест среди которых справедливо отводится Федеральному Закону «О персональных данных», хорошим тоном считается упоминание о наличии соответствующих сертификатов регулирующих органов на средства обеспечения информационной безопасности. Не нарушая традиций, упомянем об этой стороне вопроса в контексте обеспечения дистанционной работы сотрудников организаций.
При построении информационных систем, обрабатывающих персональные данные, в соответствии с законодательством необходимо использование российских криптографических алгоритмов: ГОСТ 28147-89 (шифрование), ГОСТ Р 34.11-94 (хеширование), ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 (электронная цифровая подпись). В этом контексте важной особенностью решения Aladdin, Cisco и S-Terra CSP является возможность использования российской криптографии для аутентификации пользователей и защиты передаваемых данных. Недавно полученный компанией Aladdin Сертификат соответствия №1883 ФСТЭК России от 11 августа 2009 года распространяется на всю линейку электронных ключей eToken, включая новые модели на платформе eToken Java и программное обеспечение eToken PKI Client 5.1. С получением данного сертификата eToken стал фактически единственным на российском рынке средством аутентификации и хранения ключевой информации, имеющим уровень доверия ОУД 2 и рекомендуемым для использования в информационных системах операторов персональных данных.
Компания S-Terra так же уделяет пристальное внимание вопросу соответствия своих продуктов требованиям регуляторов. В настоящее время получены сертификаты ФСТЭК как на модуль NME-RVPN, так и на программное обеспечение CSP VPN Client.
65% российских компаний за удаленную работуВ заключении хотелось привести данные онлайн-исследования, проведенного компанией Avaya. Согласно его результатам, 63% SMB-компаний в России считают, что коммуникационные технологии являются решающим фактором в развитии бизнеса и планируют продолжать инвестиции в эту сферу. При этом 78% опрошенных в России (для сравнения, 65% в Италии, 59% в Великобритании) заявили, что они бы приобрели технологии, обеспечивающие работу сотрудников из дома, если бы у них была возможность сначала их испытать и оценить преимущества. Основными аргументами «за» отечественные компании считают снижение расходов. Но при этом, более половины респондентов в России (57%) утверждают, что в их компаниях менее четверти сотрудников обладает необходимым оборудованием для работы вне офиса (т.е. в дороге, дома, во время путешествий и т.д.), а в некоторых компаниях такой возможности нет ни у одного сотрудника.
Зададимся логичным вопросом: является ли технологическая неподготовленность основным препятствием на пути внедрения концепции дистанционной работы? Далеко не всегда. Наш вывод подтверждает следующий показатель: руководство большинства компаний (66% в России, 65% в Великобритании и в 61% в Италии) настаивает на том, что сотрудники должны находиться на рабочем месте в офисе каждый день. То есть привычка хождения на работу («чтоб сотрудник был под рукой») пока не позволяет топ-менеджменту в полной мере оценить все преимущества «мобильного штата» сотрудников. Между тем, инновационные решения, позволяющие в полной мере осуществлять функциональные обязанности сотрудника, начиная от участия в видео-конференциях и заканчивая групповым редактированием документов пользователями, разделенными тысячами километров, уже сегодня доступны компаниям любого масштаба. Более того, организация удаленных рабочих мест в защищенном исполнении, построенных на базе продуктов и решений, соответствующих требованиям регуляторов рынка, - это эффективный и технологичный способ сокращения издержек. В этой связи, внедрение концепции дистанционный работы – это скорее вопрос решимости руководства, а не технологической готовности.