DLP-технологии для виртуальных и терминальных сред

 СЕРГЕЙ ВАХОНИН, директор по информационным технологиям ЗАО «Смарт Лайн Инк»

DLP-технологии
для виртуальных и терминальных сред

По разным причинам наиболее безопасной является стерильная рабочая среда, построенная на основе виртуализации и терминального доступа

Такая среда содержит только те бизнес-инструменты и данные, которые необходимы пользователю для его задач – от полноценной Windows-среды в форме виртуальной машины (рабочего стола) до отдельного опубликованного приложения, доступ к которым пользователь получает через терминальную сессию.

Часто встречается сценарий, когда серверы компании размещаются в облаке, а сотрудники офиса работают с корпоративными данными из облака через терминальную среду. Особенно часто в облако помещается корпоративный почтовый сервер, а пользователи получают доступ к почте посредством опубликованного приложения (например, Microsoft Outlook в среде Citrix XenApp), запускаемого на внешнем сервере.

Еще одна актуальная сфера применения терминального доступа – это решение задачи обеспечения безопасности для модели BYOD.

Корпоративные данные в такой модели организации работы хранятся и обрабатываются строго на стороне корпоративной среды, пользователю же в терминальной сессии предоставляется только результат обработки. Предоставленная через терминальный доступ виртуальная среда также сразу содержит элементы защиты среды передачи данных, антивирусную защиту и другие средства ИБ.

Вторая сторона виртуализации – это личная зона пользователя. Терминальная среда ограничивает доступ пользователей к данным на серверах, но не гарантирует, что эти данные не могут быть использованы пользователем, будучи скопированными из терминальной сессии на личное устройство или перенесены на подключенные к нему другие устройства – накопители, принтеры и др. Внесение элементов безопасности на персональных устройствах и предотвращения утечек данных, переносимых из терминальной среды в личное устройство, на практике реализуемо с огромными усилиями как организационного, так и технического характера (сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие гарантий предоставления личного устройства службе ИТ и т.д.).

Службе ИБ после создания стерильной среды пользователя, доступной через терминальные сессии, остается только позаботиться о внедрении в виртуальную среду средств защиты от утечек данных. Таким решением является российский DLP-комплекс DeviceLock Endpoint DLP Suite, технологии которого позволяют поставить под контроль утечки данных через сетевые протоколы, доступные внутри виртуальной среды, корпоративные файловые хранилища и принтеры, а также перенаправляемые внутрь терминальной сессии личные периферийные устройства, в т.ч. буфер обмена.

Важно подчеркнуть, что такой сценарий является универсальным и применим на всех видах личных устройств. В их числе могут быть любые мобильные платформы – такие, как iOS, Android и Windows RT, тонкие терминальные клиенты под управлением Windows CE, Windows XP Embedded или Linux, а также любые компьютеры под управлением OS X, Linux или Windows.

Все, что нужно сотруднику, – это клиент для удаленного доступа по протоколу RDP или ICA (например, Citrix Receiver), или же в качестве терминального клиента используется любой веб-браузер, поддерживающий HTML5. Как следствие, службе ИТ не приходится тратить время и силы на развертывание и управление и специализированным ПО для терминальных сетей, благодаря чему этот сценарий предоставления терминального доступа к корпоративным ресурсам может стать очень популярным.

DLP-политики для виртуальных сред в DeviceLock обеспечивают контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие компьютеры периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными, а также осуществляют централизованное журналирование действий пользователя и теневое копирование переданных им файлов и данных.

В условиях перенаправления локальных периферийных устройств и буфера обмена на терминальный сервер DLP‑решение DeviceLock, будучи установленным на виртуальной машине или терминальном сервере, доступ к которым пользователь получает через терминальную сессию, перехватывает их и в режиме реального времени осуществляет проверку, допустимы ли использование перенаправленных локальных устройств и специфические операции с данными (контроль на уровне контекста операций), а также проверяет содержимое (контент) передаваемых данных.

Он производит контентный анализ данных на предмет их соответствия DLP-политикам, заданным для этого пользователя при применении терминальных сессий. В случае выявления нарушения заданных DLP-политик операция передачи данных прерывается, при этом создаются соответствующая запись в журнале аудита и теневая копия данных, которые пользователь пытался передать через контролируемые устройства в терминальной сессии, а также тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов ИБ.

Таким образом, при наличии заданных DLP-политик, определяющих допустимость использования корпоративных данных, DeviceLock гарантирует, что передача этих данных пользователем находится строго внутри границ виртуальной терминальной среды (терминальной сессии), и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (мобильного либо домашнего), оставаясь при этом доступными для эффективного выполнения бизнес-задач.

DLP-политики в DeviceLock позволяют контролировать распространение бизнес-данных на персональных устройствах

Кроме того, DeviceLock обеспечивает контекстную и контентную фильтрацию сетевых коммуникаций, используемых внутри виртуальной корпоративной среды. Пользователь может, например, отправить коллеге разрабатываемый им документ по электронной почте непосредственно из приложения MS Word. DeviceLock будет отслеживать и анализировать контекст этой операции (например, разрешено ли вообще пользователю отправлять сообщения этому коллеге) и содержимое передаваемого документа. В случае если отправляемый документ содержит контент, передача которого не допускается корпоративной политикой ИБ, операция передачи будет блокирована, при этом создается запись в журнале аудита и сохраняется теневая копия документа, а также отправляется тревожное оповещение (алерт).

В результате благодаря использованию DeviceLock Endpoint DLP Suite обеспечивается полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, home office, облачные корпоративные серверы), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей. Служба информационной безопасности может полностью контролировать корпоративные среды, передаваемые на персональные устройства сотрудников.

Кроме того, службы ИБ могут отслеживать, проверять и отфильтровывать содержимое обмена данными между защищенной рабочей средой и персональным устройством, а также подключенными к нему периферийными устройствами и сетевыми каналами, что особенно важно, учитывая, что все эти каналы передачи данных вне корпоративных границ становятся небезопасными и должны рассматриваться как угроза корпоративной информационной безопасности.

Комментарии могут оставлять только зарегистрированные пользователи