Top menu

Защита данных в терминальной среде

Когда речь идет о безопасности корпоративных данных, идеальный вариант со многих точек зрения – это предоставление пользователю стерильной рабочей среды, созданной не самим пользователем, а ИТ-службой. Такая среда содержит те и только те бизнес-инструменты и бизнес-данные, которые необходимы пользователю непосредственно для решения его задач и выполнения бизнес-процессов – от полноценной windows-среды в форме виртуальной машины (рабочего стола) до отдельного опубликованного приложения, доступ к которым пользователь получает через терминальную сессию.

Кроме использования терминальных сред в офисах, уже сегодня значительная часть бизнеса использует схему с дистанционной занятостью, когда работодатель не создает стационарных рабочих мест в каком-либо из регионов своего присутствия, но вступает в трудовые отношения с работником для реализации целей и задач бизнеса – и предоставляет возможность работы из дома через сеансы удаленного рабочего стола.

Корпоративные данные в модели организации работы через терминальные среды независимо от физического размещения терминальных клиентов (в офисе, дома, в других местах) хранятся и обрабатываются строго на стороне корпоративной среды, пользователю же в терминальной сессии предоставляется только результат обработки. Нередко встречается сценарий, когда сервера компании размещаются в облаке, а сотрудники офиса работают с данными из облака через терминальную среду. Часто в облако помещается корпоративный почтовый сервер, а пользователи получают доступ к почте посредством опубликованного приложения (например, Microsoft Outlook в среде Citrix XenApp), запускаемого на внешнем сервере. Другой широко распространенный сценарий, особенно в среднем и малом бизнесе – это терминальный доступ к бухгалтерским и финансовым системам.

Предоставленная через терминальный доступ виртуальная среда на ее корпоративной стороне сразу содержит элементы защиты среды передачи данных, антивирусную защиту и другие средства ИБ. Другая сторона виртуализации – это личная зона пользователя.

Одним из преимуществ виртуализации является то, что пользователь может получить защищенный доступ к корпоративной среде с помощью любого типа компьютеров и персональных устройств – тонкий клиент, лэптоп, планшет, смартфон. Все, что нужно сотруднику – это клиент для удаленного доступа по протоколу RDP или ICA (например, Citrix Receiver) или же в качестве терминального клиента используется любой веб-браузер, поддерживающий HTML5.

Недостатком – риски потери контроля за корпоративными данными, попавшими в личную зону пользователя. Сама по себе терминальная среда ограничивает доступ пользователей к данным на серверах, сужая их ровно до той части, которая нужна для выполнения своих задач – но не гарантирует, что эти данные не могут быть использованы пользователем, будучи скопированными из терминальной сессии на личное устройство или перенесены на подключенные к нему другие устройства – накопители, принтеры и др. Внесение элементов безопасности и предотвращения утечек данных, переносимых из терминальной среды в личное устройство, непосредственно на персональных устройствах теоретически возможно - однако практически либо не реализуемо вообще (личные устройства всегда остаются личными), либо реализуемо с огромными усилиями как организационного, так и технического характера. Следует учитывать сложность доступа,невозможность автоматизированного централизованного развертывания, отсутствие гарантий предоставления личного устройства службе ИТ, избыточная уязвимость самих решений и т.д.

Наконец, при всех плюсах удаленной работы, которые очевидны для сотрудника и бизнеса с точки зрения продуктивности работы, у подразделения, отвечающего за информационную безопасность, возникает резонный вопрос – с чем и как будет работать такой сотрудник вне стен офиса? Насколько ответственно он относится к обеспечению безопасности своих мобильных устройств или домашнего компьютера? Как обеспечить безопасность и сохранность данных, с которыми он работает в силу своих бизнес-задач?

Как следствие, службе ИБ после создания стерильной среды пользователя, доступной через терминальные сессии, стоит позаботиться о внедрении средств контроля передачи данных из терминальной сессии на устройство пользователя непосредственно в виртуальную среду. Что-то можно реализовать средствами самого терминального сервера, что-то – за счет сторонних решений класса Data Leak Prevention (DLP), поддерживающих контроль устройств, перенаправляемых в терминальную сессию, наравне с контролем сетевых коммуникаций, доступных на корпоративной стороне.

Основная задача, которую должна решать такая DLP-система в отношении виртуальных и терминальных сред – это контроль переноса корпоративных данных на удаленные компьютеры и мобильные устройства из терминальных и виртуальных сред. DLP-политики для терминальных сред призваны обеспечить контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными с удаленных рабочих компьютеров периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными, а также каналы сетевых коммуникаций. Кроме того, необходимо обеспечить централизованное журналирование действий пользователя, теневое копирование переданных им файлов и данных, тревожные оповещения в случае выявления инцидентов безопасности.

Рассмотрим общий сценарий – сотруднику, работающему на «тонком клиенте», предоставляется терминальный доступ к корпоративной рабочей среде, организованной в виде опубликованного бизнес-приложения. В целях повышения производительности и эффективности работы пользователя на его компьютере локально подключаемые периферийные устройства и буфер обмена перенаправляются в терминальную сессию. В частности, это объясняется необходимостью печати доступных через терминальную сессию документов на локально подключенном принтере, а также иметь возможность копировать и вставлять данные через буфер обмена из/в бизнес-приложение, с которым пользователь работает в терминальной сессии.

В качестве частного сценария можно назвать случай, когда специалисту финансового отдела разрешено использование флеш-накопителей для сохранения конфиденциальной финансовой информации при работе в офисе (с рабочего компьютера), но не допускается запись таких документов на накопители, полученных через сеансы удаленного рабочего стола, при работе с ноутбука в командировках или дома. Запись на накопитель прочих документов должна протоколироваться с созданием теневой копии в целях последующего анализа и контроля.

При этом предполагается, что содержимое документа (или данных), передаваемых через перенаправленные устройства или буфер обмена данными вовне терминальной сессии, полностью соответствует корпоративной политике безопасности и не содержит недопустимых для утечки данных (т.е. нарушающих корпоративную политику безопасности или иные регулирующие правительственные и отраслевые нормы). Это означает, что помимо контроля доступа к перенаправленным в терминальную среду устройствам необходимо также анализировать содержание файлов, чтобы предотвратить утечку именно конфиденциальной информации – не блокируя при этом передачу данных, к такой категории не относящихся.

В условиях перенаправления локальных периферийных устройств и буфера обмена с удаленного терминала на терминальный сервер DLP-решение, функционируя на виртуальной машине или терминальном сервере, доступ к которым пользователь получает через терминальную сессию, должно перехватывать их и в режиме реального времени осуществлять проверку допустимости использования перенаправленных локальных устройств и специфических операций с данными, а также проверяет содержимое (контент) передаваемых данных – т.е. производит контентный анализ данных на предмет их соответствия DLP-политикам, заданным для этого пользователя при использовании терминальных сессий. В случае выявления нарушения заданных DLP-политик операция передачи данных прерывается, при этом создается соответствующая запись в журнале событийного протоколирования, и теневая копия данных, которые пользователь пытался передать через контролируемые устройства в терминальной сессии, а также создается тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов ИБ.

Таким образом, при наличии заданных DLP-политик, определяющих допустимость использования корпоративных данных, DLP-система должна гарантировать, что передача данных ограниченного доступа пользователем находится строго внутри границ виртуальной среды (терминальной сессии), и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (от тонкого клиента или домашнего компьютера до мобильного устройства любого типа), оставаясь при этом доступными для эффективного выполнения бизнес-задач.

Благодаря использованию DLP-решения, обладающего полноценным функционалом контроля потоков данных между терминальным сервером и удаленным терминалом, обеспечивается полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, home office, облачные корпоративные сервера), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей – компании при необходимости могут полностью контролировать корпоративные среды, переданные на персональные устройства сотрудников. Кроме того, службы ИБ могут отслеживать, проверять и отфильтровывать содержимое обмена данными между защищенной рабочей средой и персональным устройством, а также подключенными к нему периферийными устройствами и буфером обмена – что особенно важно, учитывая, что все эти каналы передачи данных вне корпоративных границ становятся небезопасными и должны рассматриваться как угроза корпоративной информационной безопасности.

При этом немаловажно, что организации не приходится тратить время и силы на управление и контроль персональных устройств, благодаря чему сценарий предоставления терминального доступа к корпоративным ресурсам, защищенного с помощью DLP-технологий, может стать очень популярным.

На мировом DLP рынке функциональными возможностями DLP-контроля терминальных сессий обладает не так много решений, при этом сертификацию разработчиков средств виртуализации (VMWare, Microsoft) и основного разработчика средств предоставления терминального доступа – Citrix – прошли считанные единицы во всем мире. Здесь хочу с гордостью отметить, что программный комплекс нашей разработки DeviceLock Endpoint DLP Suite обладает сертификатом VMware Ready (это партнерская программа компании VMware, призванная демонстрировать совместимость программных продуктов с инфраструктурой VMware Solution Exchange), а также успешно прошел сертификацию по программе Citrix Ready в 2012 г. и обновил сертификацию в 2015. Citrix Ready – это партнерская программа, позволяющая пользователям находить продукты независимых производителей, рекомендованные компанией Citrix Systems, Inc. как комплементарные и улучшаюшие возможности решений на базе платформы Citrix в области виртуализации, сетевых технологи и облачных вычислительных сред. Пользователи продуктов Citrix могут быть уверены, что DeviceLock DLP обеспечивает надежное предотвращение утечек данных из виртуальных рабочих столов и приложений в средах Citrix XenApp и XenDesktop. При этом совместная работа DeviceLock DLP с Citrix XenApp и XenDesktop значительно повышает уровень защищенности данных при организации удаленного доступа сотрудников к виртуализованным корпоративным рабочим столам и приложениям с любых типов персональных компьютеров, лэптопов, планшетов и смартфонов посредством использования приложения Citrix Receiver.

Реализованная в DeviceLock Endpoint DLP Suite технология Virtual DLP позволяет распространить функции защиты от утечек данных на множество типов виртуализованных ИТ-сред, включая сеансовый доступ к опубликованным приложениям, а также многопользовательским и персонализированным (VDI) рабочим столам, доступ к удаленным физическим компьютерам, работа на поточно-загружаемых десктопах и использование локальных виртуальных машин поверх гипервизора. Virtual DLP обеспечивает гибкую контекстную и контентную фильтрацию потоков данных между сеансами опубликованных приложений и рабочих столов и перенаправленными в них периферийными устройствами, портами и буфером обмена удаленных терминальных BYOD-устройств. Кроме того, контекст и содержимое сетевых коммуникаций пользователей внутри терминальных сессий также контролируются DLP-механизмами DeviceLock. В результате обеспечивается полный контроль изолированной корпоративной среды, переданной на персональное устройство сотрудника, а также фильтрация и проверка обмена данными между виртуальной рабочей средой пользователя и его персональным BYOD-терминалом, периферийными устройствами и каналами сетевых коммуникаций.