RSS

Компьютерная терминология    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

Насколько уязвимы сети организаци

или делаем «лично-корпоративные» ноуты и смартфоны пользователей безопасными
   
 Бесплатная консультация специалиста
Loading…
 

1.4 Насколько уязвимы сети организаци в Интернете?

Как уже отмечалось в предыдущих разделах, ряд служб TCP и UDP плохо обеспечивают безопасность в современной среде в Интернете. При миллионах пользователей, подключенных к Интернету, и при том, что правительства и промышленность зависят от Интернета, недостатки в этих службах, а также легкодоступность исходного кода и средств для автоматизации проникновения в системы могут сделать сети уязвимыми к проникновениям в них. Тем не менее, настоящий риск при использовании Интернета трудно оценить, и непросто сказать, насколько уязвима сеть к атакам злоумышленников. Такой статистики не ведется.
Координационный Центр по групп расследования происшествий с компьютерной безопасностью(CERT/CC) ведет некоторую статистику о числе инцидентов, которые они расследовали после его создания в 1988 году. Числа в этой статистике увеличиваются скачкообразно каждый год, но следует помнить, что и число машин в Интернете также растет. В некоторых случаях CERT считает несколько проникновений одного и того жн типа одним происшествием, поэтому одно происшествие может состоять из нескольких сотен проникновений в ряд систем. Трудно сказать, насколько пропорциональны число инцидентов и число проникновений. Эта проблема также осложняется тем, что чем больше людей знают о существовании групп по расследованию инцидентов, тем больше вероятность того, что они сообщат о происшествии, поэтому на самом деле непонятно, то ли происходит все больше происшествий, то ли сообщается о все большем их проценте.
NIST считает, что Интернет, хотя и является очень полезной и важной сетью, в то же самое время очень уязвим к атакам. Сети, которые соединены с Интернетом, подвергаются некоторому риску того, что их системы будут атакованы или подвергнуты некоторому воздействию со стороны злоумышленников, и что риск этого значителен. Следующие факторы могут повлиять на уровень риска:

Чем больше систем в сети, тем труднее контролировать их безопасность. Аналогично, если сеть соединена с Интернетом в нескольких местах, то она будет более уязвима чем сеть с одним шлюзом. В то же самое время, то, насколько готова к атаке организация, или то, насколько она зависит от Интернета, может увеличить или уменьшить риск. Сеть, имеющая привлекательный для злоумышленников профиль, может подвергнуться большему числу атак с целью получения информации, хранящейся в ней. Хотя, стоит сказать, что "молчаливые" мало посещаемые сети также привлекательны для злоумышленников, так как им легче будет скрыть свою активность.
NIST заявляет, что сети, которые используют рекомендованные процедуры и меры защиты для повышения компьютерной безопасности, будут подвергаться значительно меньшему риску атак. Брандмауэры в сочетании с одноразовыми паролями, которые устойчивы к их перехвату, могут увеличить общий уровень безопасности сети и сделать использование Интернета достаточно безопасным. Следующие главы содержат более детальное описание брандмауэров и того, как они могут использованы для защиты от многих угроз и уязвимых мест, описанных в этой главе.

Мобильный контроль: Делаем «лично-корпоративные» ноуты и смартфоны пользователей безопасными



В прошлой статье мы обсуждали встроенные и сторонние средства защиты для мобильных устройств. В этот раз попробуем решить проблему защиты мобильных рабочих станций с точки зрения создания системы с нуля. Комплекс продуктов и решений, которые будут здесь рассматриваться, нацелен преимущественно на средний бизнес. Этому есть две причины: крупные предприятия слишком инертны для внедрения новых решений, а у малых, как правило, недостаточно средств.

Виртуализация


Каждый из нас так или иначе сталкивался с различными видами виртуальных машин. Попробуем немного разобраться в их видах.
Гипервизоры бывают первого и второго типов. Первый тип — это, фактически, мини ОС, загружаемая или устанавливаемая на сервер, позволяющая выделять и разделять ресурсы, обеспечивать работу запущенных в ней ОС. Это VMware ESX, Citrix XenServer, Microsoft Hyper-V. Гипервизоры второго типа — это ПО, исполняемое в ОС: VMware Workstation, Oracle Virtual Box и прочие.
Вторые более знакомы рядовым пользователям, первые давно и эффективно решают множество задач на серверах. В этом нет ничего нового, слабые и сильные стороны каждого из типов гипервизоров хорошо известны нашим читателям (например, из статьи «Параллельный мир» этого же номера ][).
Производительность ОС в гипервизорах первого типа практически не отличается от производительности ОС, установленной на используемое железо — снижение производительности минимально.
Для второго типа это не так, плюс доступ ко многим аппаратным функциям (например, использованию всех технологий видеокарт) сильно ограничен. Минусом гипервизоров первого типа является не слишком большое количество оборудования, с которым они могут успешно работать. Как уже было сказано, первый тип — это мини-ОС, которым нужны драйверы и интерфейсы для работы с аппаратной частью компьютера.

VT-x? VT-d!


За этими аббревиатурами скрываются технологии аппаратной виртуализации от компании Intel. Первая технология (VT-x) направлена на ускорение работы виртуальной ОС с гостевой и обеспечивает более быстрый доступ к памяти. Вторая (VT-d) куда более значительна, она позволяет виртуальной машине получать прямой доступ к аппаратным ресурсам, в том числе и к системам ввода-вывода.
С использованием VT-d можно работать в виртуальной ОС без потери производительности, используя всю мощь аппаратных ресурсов. Это делает идею использования виртуализации в повседневной жизни весьма привлекательной. И дает возможность использовать гипервизоры первого типа, давно работающие на множестве серверов, на пользовательских компьютерах.

Безопасность


Казалось бы, мы отклонились от темы статьи. Причем здесь виртуализация и корпоративные ноутбуки? Однако предлагаемое решение, используемое для защиты мобильных станций, непосредственно связано с виртуализацией. И ответственна за это компания Citrix, представившая свой продукт Xen Client.
Презентация продукта произошла еще летом 2010 года, однако сейчас он стал достаточно отшлифован, чтобы его можно было применить для решения различного рода задач. Что же это? Это гипервизор первого типа, предназначенный для установки на ноутбуки сотрудников. На нем может исполняться одна или несколько операционных систем. Это дает возможность работать за личным ноутбуком, безопасно используя рабочую и домашнюю среды. Даже одновременно.
Как известно, одной из самых больших угроз безопасности рабочей информации как раз и является потеря или кража ноутбука (часто личного), на котором не действовали корпоративные политики и стандарты безопасности, а служебная информация все равно хранилась и обрабатывалась.
Теперь возможно разрешать пользователям использовать для удаленной работы личный ноутбук, не опасаясь снижения уровня безопасности. «Корпоративная» ОС будет настроена и сконфигурирована согласно всем правилам, с использованием шифрования всего диска, разграничениями прав доступа, корпоративным антивирусом и прочим ПО, с которым ты работаешь.
В «домашней» же ОС все будет сделано так, как нравится пользователю, ведь необходимости хранить в ней важные данные нет. Работодатель сможет привлекать сотрудников покупкой для них ноутбука, который они могут использовать и дома, и в офисе, или, наоборот, поощрять сотрудников, которые принесут свой ноутбук на работу, что позволит сэкономить на парке машин. Xen Client бесплатен, и его можно попробовать, скачав с официального сайта citrix.com.

Как это работает?


Установка Xen Client не отличается от установки любой ОС. После установки можно подключиться к интернету. Требования к ноутбуку — поддержка технологии Intel VT-d, реализованной в мобильных процессорах Core i5-5xx и всех Core i7, а также новых процессорах из серии Sandy Bridge Core i5-25xx. Для корректной работы 3D-приложений… ну, пока что, на момент написания статьи (конец апреля — прим. ред.), поддерживается только интегрированная графика — Intel GMA X4500 или Intel GMA HD.
Это главный минус подобного решения, ведь любой гипервизор первого типа весьма требователен к железу. Однако продукт развивается, и велик шанс, что скоро мы увидим поддержку и других мобильных видеокарт. После установки можно выбрать, откуда устанавливать гостевые ОС. Для «домашней» ОС мы можем использовать образ ISO или диск, а для «корпоративной » — специальное средство Citrix Synchronizer. Это позволяет загрузить готовую, полностью сконфигурированную и настроенную ОС на свой ноутбук, а затем сразу приступить к работе.
Для системного администратора — просто рай, этому ленивому дяденьке достаточно один раз подготовить шаблонные ОС для каждого отдела или группы пользователей, а не переустанавливать все на каждой конкретной машине. Получение виртуальной машины осуществляется после ввода логина и пароля.
И самое важное для корпоративной среды — администратор может пометить ОС как потерянную. В этом случае после включения утерянного сотрудником и найденного каким-нибудь нехорошим человеком ноутбука образ этой ОС будет удален при первом же подключении к интернету. Для каждой виртуальной системы администратор выставляет периодичность, с которой ОС должна проверять, не «потеряна» ли она.
Например, двое суток. Если в течение двух суток ОС не имела доступ в интернет, она блокируется. В заданный промежуток пользователь может работать без подключения к интернету. Юзер должен подключиться к интернету, ввести учетные данные для Citrix Synchronizer. Если администратор пометил в Synchronizer, что компьютер потерян, данные с него автоматически удалятся, даже если на компьютере будет правильно введен пароль доступа к системе. Это важно, так как логин и пароль могут быть скомпрометированы.
Сам контейнер с виртуальной ОС хранится на пользовательском ноутбуке в зашифрованном виде. Администратор может конфигурировать возможность использования системой различных устройств. Например, для «корпоративной» ОС можно запретить USB или Wi-Fi. Разумеется, можно настроить и периодичность выгрузки резервной копии ОС на сервер.
Таким образом, основные вычислительные ресурсы расположены именно на ноутбуке, сервер служит лишь хранилищем виртуальных машин сотрудников. Давай рассмотрим, какие проблемы может решить использование «Xen Client»:
  1. Обеспечить возможность комфортной работы пользователя вне офиса, не теряя преимущества Enterprise-решений, используемых в компании для обеспечения безопасности.
  2. Экономия на парке компьютеров.
  3. Централизованное управление и хранение рабочих данных сотрудников. Решаются проблемы резервного копирования, быстрой подготовки рабочих мест, уничтожения данных в случае утери ноутбука, шифрования, разграничения доступа к аппаратной части для «корпоративной» ОС.
  4. Рабочее место всегда под рукой, быстрое переключение между домом и работой, стимулирование сотрудников использовать защищенную корпоративную среду даже дома.

Заметим, что последний пункт особенно важен для топменеджеров, которые, для обеспечения комфорта собственной работы, часто являются причиной использования компромиссов с точки зрения защиты.

Облако

Как применить Xen Server для решения нашей задачи — обеспечения безопасности всех мобильных устройств пользователей?


Ответ: Citrix Receiver. Это программное обеспечение, которое работает практически под всеми платформами (в том числе и мобильными, например Android и iOS). Citrix Receiver позволяет получить доступ к виртуальной ОС или приложениям из нее практически с любого устройства. На сервер, имеющий доступ к интернету, необходимо установить Desktop Delivery Controller, который будет отвечать за удаленный доступ к ОС. В саму ОС устанавливается агент Citrix VDA, который регистрируется в Desktop Delivery Controller, и данная ОС становится доступна извне, будь то виртуальная система или установленная на реальном железе. На клиентское устройство нужно будет установить Citrix Receiver, тогда пользователи смогут подключаться к необходимой ОС и нормально работать. Такой механизм позволяет получить доступ ко всем приложениям практически из любого устройства, Microsoft Office 2010 на телефоне — уже не фантастика. Однако, чем же это лучше обыкновенного доступа через RDP?
Если использовать все возможности продуктов Xen Server и Xen Desktop, можно создать несколько шаблонных ОС для каждой из групп пользователей, данные которых и ОС будут храниться раздельно, что позволяет экономить дисковое пространство.
И тут мы переходим к еще двум продуктам компании Citrix — Citrix XenVault и Citrix XenApp. Эти программные продукты позволяют использовать корпоративные приложения на любом компьютере. Предположим, у нас есть мощный сервер с парком виртуальных машин для разных групп пользователей. Citrix XenApp позволяет получить доступ к приложениям из корпоративной среды, будто бы они установлены на личных компьютерах пользователей. Объясню на примере.
Бухгалтер с помощью XenApp получает доступ к «1С Бухгалтерии», установленной на его рабочем компьютере, как будто бы к приложению, которое установлено на его персональном. При этом получается как бы «приложение по заказу», так как используются вычислительные ресурсы (и данные) сервера, поэтому после прекращения использования приложения на домашнем компьютере никаких данных не остается. Citrix XenVault — это защищенное корпоративное хранилище данных, которое также помогает использовать виртуализированные приложения. Для шифрования используется AES с 256-битным ключом, а политика безопасности определяет, какие именно программы получат доступ к этому хранилищу. По умолчанию доступ дается «виртуальным» приложениям. Буфер обмена можно блокировать политиками безопасности. Как и в Xen Client, XenVault можно настроить на принудительное удаление всех данных — например, в случае кражи ноутбука или его компрометации.
Таким образом, на домашнем или мобильном компьютере можно безопасно пользоваться «рабочими» приложениями с использованием аппаратных ресурсов удаленного сервера. Это позволяет осуществлять удаленную работу даже когда для нее требуются немалые вычислительные ресурсы, недоступные мобильным ПК, и осуществлять ее безопасно. Конечно, существуют концепты вредоносного ПО, которое способно вторгаться в виртуальную среду, но реальных приложений пока не встречалось.
Минусом такой схемы является потребность в мощном сервере и зависимость от скорости доступа в интернет. Кроме решения проблем мобильных рабочих станций можно применять парк тонких клиентов на рабочих местах пользователей, особенно если их работа не связана с потребностью в мощных вычислительных ресурсах. Часто экономически это более чем оправдано.

Итак, плюсы:

  1. Возможность безопасного использования данных и программ из рабочей среды на домашнем компьютере или ноутбуке.
  2. Возможность использования рабочих ресурсов и мощностей удаленно.
  3. Возможность использования тонких клиентов.
  4. Кроссплатформенность.

Минусы:

  1. Усложнение инфраструктуры.
  2. Необходимость мощного серверного оборудования.
  3. Недостаточная «обработанность» технологии.

Итоги


В статье были рассмотрены новые технологии и возможности, которые предоставила компания Citrix. Как оказалось, тандем (Сергей, сейчас принято говорить «правящий тандем» :) — прим. ред.) из программной и аппаратной виртуализации позволяет решить множество задач, в том числе и с точки зрения обеспечения защиты информации. Немаловажно, что эти средства защиты еще и не вызывают особенных неудобств у пользователя.

Не Xen Client’ом единым


Стоит отметить, что кроме использования Xen Client необходимо использовать и традиционные корпоративные средства защиты — антивирусное ПО, брандмауэры, IDS- и DLP-системы. Впрочем, рассматриваемая в статье технология позволяет все это «взять с собой».

Недостатки Xen Client


У описанного продукта есть и недостатки. В основном они связаны с требованиями к аппаратной части ноутбуков и небольшим количеством поддерживаемых устройств. Из ОС поддерживаются почти все современные версии Windows (XP-Seven), неофициально можно заставить работать многие дистрибутивы Linux, особенно если для них есть Xen Tools. Mac OS X не поддерживается.

Назад | Содержание | Вперед

seo & website usability inet html os faq hardware faq memory video cpu hdd mainboard faq printer & scaner modem mobiles

Windows 10 | Registry Windows 10 | Windows7: Общие настройки | Windows7: Реестр | Windows7: Реестр faq | Windows7: Настроки сети | Windows7: Безопасность | Windows7: Брандмауэр | Windows7: Режим совместимости | Windows7: Пароль администратора |  |  |  |  | Память | SDRAM | DDR2 | DDR3 | Quad Band Memory (QBM) | SRAM | FeRAM | Словарь терминов | Video | nVIDIA faq | ATI faq  | Интегрированное видео faq | TV tuners faq | Терминология | Форматы графических файлов | Работа с цифровым видео(faq) | Кодеки faq | DVD faq | DigitalVideo faq | Video faq (Архив) | CPU | HDD & Flash faq | Как уберечь винчестер | HDD faq | Cable faq | SCSI адаптеры & faq | SSD | Mainboard faq | Printer & Scaner | Горячая линия бесплатной юридической консультации | Благотворительность

На главную | Cookie policy | Sitemap

 ©  2004