Защищённая «Удалёнка»: варианты реализации

С недавних пор большое внимание уделяется удалённой работе сотрудников – многие компании организуют для своих сотрудников удалённый доступ к информационным ресурсам.

Организация удалённого доступа всегда сопряжена с рисками. Домашний компьютер и сеть как правило, защищены слабо (по сравнению с корпоративными аналогами): зачастую отсутствуют инструменты, блокирующие уязвимости, допускаются ошибки при настройке канала удаленного доступа, используются различные интернет-сервисы, для хранения информации применяются публичные облака, бесконтрольно используются личные носители информации т.д. Что касается самого компьютера, то установленное на нем ПО (в частности, антивирус и ОС) в домашних условиях обновляется, к сожалению, не так часто, как это необходимо (бывают случаи, когда антивирус вообще отсутствует на компьютере или установленная ОС является устаревшей, и обновления ее баз вовсе не происходит).

Все это приводит к тому, что при удаленной работе в слабозащищенной среде возникает большая вероятность утечки информации вследствие действия вирусных атак (целевых, фишинг атак) и инсайдеров, использующих методы социальной инженерии, распространения вредоносного ПО, выхода из строя технических средств (из-за ddos-атак или, попросту, по причине нехватки мощности домашней сети), кражи устройств и прочее.

Поэтому при переводе сотрудников на «удалёнку» для защиты клиентского рабочего места должны применяться дополнительные меры и средства обеспечения защиты, которые смогут компенсировать возникающие риски удалённого доступа.

Организовать защиту удалённого клиентского рабочего места можно несколькими способами (на примере ГИС первого класса) [1]:

1. защитить домашний компьютер пользователя в соответствии с Приказом ФСТЭК России №17 (при этом на компьютер нужно установить модуль доверенной загрузки – аппаратный или программный – в зависимости от класса ГИС, например, ПАК «Аккорд‑АМДЗ» или СДЗ уровня BIOS «Аккорд‑МКТ», а также средства разграничения доступа – ПАК «Аккорд-Х», СПО «Аккорд‑Х K», СПО «Аккорд‑Win64 K»);
2. предоставить пользователю средство обеспечения доверенного сеанса (СОДС), с помощью которого пользователь сможет получать кратковременный доступ к ГИС в рамках доверенного сеанса связи (ДСС) со своего незащищенного компьютера. При этом загрузка сертифицированной ОС должна осуществляться с носителя, обеспечивающего ее неизменность – в качестве такового обычно применяется носитель в форм-факторе USB (например, СОДС «МАРШ!»);
3. предоставить пользователю специальное средство вычислительной техники удалённого доступа (ССВТ УД), с помощью которого пользователь сможет получать кратковременный доступ к ГИС со своего незащищенного компьютера через СКЗИ.

Реализация первых двух вариантов работы, так или иначе, сопряжена с некоторыми затруднениями.

Цена клиентского компьютера в рамках первого варианта довольно высока. Связано это с необходимостью защиты канала связи, так как клиентское рабочее место находится за пределами защищенной корпоративной инфраструктуры. В общем случае для защиты канала на компьютер пользователя необходимо установить систему криптографической защиты информации (СКЗИ) соответствующего класса защиты – КС2. Применение СКЗИ класса КС2, в свою очередь, и выше требует установки в компьютер аппаратного модуля доверенной загрузки – АМДЗ (или СДЗ – средства доверенной загрузки – если применение СКЗИ не обязательно). Кроме того, такой вариант работы характеризуется высокой нагрузкой на пользователя, так как именно на пользователя возлагается ответственность по обеспечению мер по защите технических средств (ЗТС) рабочего места (ограничение физического доступ к своему рабочему месту, исключение несанкционированного просмотра экрана и т. д), а также строго соблюдать инструкции при работе с СКЗИ. В целях защиты криптографических ключей целесообразно применять решения, при которых ключи будут недоступны никому из персонала и будут храниться в неизвлекаемом виде. Следует отметить, что в случае с планшетным компьютером требования ЗТС выполнить гораздо легче – его можно носить с собой, идя попить кофе, переворачивать экраном вниз, садясь возле окна или зеркала – держать под углом.

Во втором варианте организации удалённого доступа требований к компьютеру пользователя не предъявляется, так как неважно на какой машине будет работать пользователь – доступ к ГИС он получает только в рамках ДСС, при котором целостность среды и СКЗИ контролируется непосредственно самим СОДС. Однако следует учесть, что СОДС, как правило, выполнено в форм‑факторе USB, и ввод его в ИС повлечет необходимость внесения соответствующих изменений в аттестационные документы. Кроме того, при исполнении на недоверенном компьютере пользователя проверенной ОС, находящейся на СОДС, возникает необходимость контролировать целостность этой ОС непосредственно на клиентском рабочем месте. Для этого необходимы специальные средства динамического контроля целостности, которые должны быть установлены на само СОДС. Дополнительно необходимы отдельный протокол LDAP, межсетевой экран, криптошлюз и др. периферийные средства защиты информации (СЗИ), по параметрам защищенности соответствующие требованиям к мерам защиты ГИС.

Необходимо отметить, что при реализации удалённого доступа по второму варианту требование УПД.17 – обеспечение доверенной загрузки – не выполняется, так как при загрузке с флешки не проводится контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники.

В рамках третьего варианта подключение к ГИС выполняется через ССВТ УД, блокирующее уязвимости, появившиеся при удалённой работе сотрудников.

Вариант ССВТ УД на платформе «m-TrusT» разработан и поставляется под торговым названием «TrusT Удалёнка». В состав решения входит СКЗИ, сертифицированное ФСБ по классу КС3.

Аппаратная платформа ССВТ УД представляет собой защищенный микрокомпьютер, архитектура которого обеспечивает невозможность воздействия вредоносного ПО на ССВТ УД. Благодаря наличию встроенного СКЗИ обеспечивается защищенное соединение с ГИС. Входящее в состав СДЗ в совокупности со специальным средством разграничения доступа обеспечивают доверенную загрузку ОС ССВТ УД и блокировку доступа неавторизованных пользователей к ресурсам ГИС. Помимо этого, в ССВТ УД имеется встроенный браузер, что позволяет получить безопасный доступ к различным интернет‑сервисам.

Схема работы при использовании ССВТ УД «TrusT Удалёнка» следующая: к компьютеру пользователя подключен микрокомпьютер. При необходимости подключения к ГИС, с него на компьютер пользователя загружается технологическая ОС с терминальным клиентом, и микрокомпьютер становится для компьютера пользователя терминальным сервером.

 

На компьютере выполняется:

• PXE-загрузчик, интегрированный в BIOS;
• технологическая ОС, загружаемая с «TrusT Удалёнка»;
• ПО терминального клиента (в ОС, загруженной с «TrusT Удалёнка»);

На «TrusT Удалёнка» исполняется:

• СДЗ уровня BIOS Аккорд-МКТ (сертифицированное ФСТЭК России);
• российская ОС, в том числе:
• ПО терминального сервера (навстречу ПЭВМ);
• ПО терминального клиента (навстречу ГИС);
• драйвера сети;
• браузер;
• TFTP-сервер (поддержка загрузки по PXE);
• «Аккорд-X K» (для изоляции программной среды по требованиям ФСБ России, сертифицирован ФСТЭК России);
• СКЗИ DCrypt (сертифицирован ФСБ России на платформе m-TrusT на класс КС3).

В отлитии от использования СОДС «МАРШ!» при применении ССВТ УД выполняется требование УПД.17.

СОДС «МАРШ!» не обеспечивает выполнение требования УПД.17, так как СОДС выполнен в форм-факторе USB, а при загрузке с флешки не проводится контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники.

При загрузке с «TrusT Удалёнка» доверенная загрузка средств вычислительной техники обеспечивается за счет выполнения условий:

• недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;
• контроль доступа пользователей к процессу загрузки операционной системы;
• контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники.

«TrusT Удалёнка» контролирует целостность программного обеспечения и аппаратных компонентов именно того средства вычислительной техники, на котором исполняется СКЗИ за счет встроенного СДЗ уровня BIOS «Аккорд‑МКТ».

Недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы и контроль доступа пользователей к процессу загрузки операционной системы в «TrusT Удалёнка» реализуются за счет того, что память микрокомпьютера m‑TrusT, на базе которого выполнено ССВТ УД, находится в режиме «только чтение». При загрузке команды и данные размещаются в сеансовой памяти, в которой и исполняются – в случае проникновения вирусного ПО в ОС микрокомпьютера, зафиксироваться в памяти оно не сможет.

Также за счет реализации в «m-TrusT» функции неизвлекаемого ключа, возможно использовать ключ до 3-х лет.

Одновременно не требуется дополнительный ключевой носитель и меры по контролю этих носителей, поскольку ключи хранятся на самом устройстве в неизвлекаемом виде.

Обеспечение доверенной загрузки компьютера пользователя и отсутствие необходимости применения дополнительных средств контроля целостности исполняемой ОС – это преимущества «TrusT Удалёнка» перед СОДС.

Помимо этого, при использовании «TrusT Удалёнка» нагрузка на пользователя минимальна. К тому же стоимость подготовки клиентского рабочего компьютера гораздо ниже, чем в варианте использования защищённого стационарного компьютера – и это преимущества «TrusT Удалёнка» перед компьютером, защищённым в соответствии с Приказом ФСТЭК России №17.

ССВТ УД «TrusT Удалёнка» – наилучший способ организовать удаленный доступ к ГИС высоких классов.

Информацию о стоимости ССВТ УД «TrusT Удалёнка» можно запросить по адресу zakaz@okbsapr.ru.