Возможность работать удаленно стала нормой для современных прогрессивных компаний. Для компаний, работающих с финансовыми данными, остро встает вопрос безопасности.
Как обеспечить максимальную защиту трафика при удаленной работе, рассказывает Сергей Кравченко, начальник отдела ИТ-безопасности британской финтех-платформы Bilderlings.
Самый простой способ — это воспользоваться услугами сторонних компаний или приложений, таких как Teamviewer, LogMeIn, PC Anywhere, VNC . Теоретически я могу из дома подключиться к своей рабочей станции через удаленный доступ, это по сути Peer-To-Peer соединение. Но в чем там минус — это сторонний сервис и кто знает, как используются ваши данные. Самый приемлемый и надежный метод — установить свой VPN-сервер в дата-центре компании.
VPN — это защита трафика от злоумышленника, чтобы он не мог вклиниться и получить доступ к данным, так называемая частная сеть. Администратор настраивает VPN-сервер, а мы устанавливаем программу и даем нашим сотрудникам настройки, ключ, пароль и т.д. И при этом все равно есть двухфакторная аутентификация. Согласен, можно с компьютера похитить ключ и пароль. Но тогда придется украсть еще и телефон, да и самого человека похитить. Это существенно усложняет потенциальные атаки
Благодаря VPN вы можете получить доступ к рабочей информации из любой точки мира, т.к. это связь между вами и сервером, который находится в нашем офисе. Тоннель идет через многих сервер-провайдеров, там может быть множество пунктов, через которые проходят данные. Но само шифрование устанавливается между клиентом и сервером. Если кто-то попытается подключиться, вклиниться как Man-In-The-Middle, сессия оборвется. Да, данные проходят через провайдеров, но в этот трафик расшифровать практически невозможно, если вы всё правильно настроили и поддерживаете VPN-технологии. Технологии несовершенны, периодически в них обнаруживаются слабые места — поэтому за тем, что происходит в технологиях, надо постоянно следить.
Поставщики VPN
Есть решения Open Source, а есть коммерческие решения, когда устанавливается уже готовое железное оборудование и поставляется какому-то клиенту. Решать вам, что лучше и удобнее. В нашей компании мы решили, что сами с усами и взяли VPN из открытого ресурса и настроили под себя. Мы считаем, что кастомные установки лучше, чем коммерческий продукт. Мы сами можем установить секретные ключи, сделать их и сложнее, установить сложные пароли, можем использовать свою «соль», включить какой-то уникальный параметр, который не включен в коммерческий продукт. Мы можем сами усилить безопасность в той мере, в какой считаем нужным. А в коммерческом продукте ты ограничен тем функционалом, который там уже есть. Да, коммерческий продукт тоже безопасный! Но если возникнет какая-то необходимость дополнительных настроек, мы можем кастомизировать данные установки, и мы этим гордимся, и этим довольны.
Терминальный доступ
Терминальный доступ — это тот же самый remote доступ, просто доступ обеспечивается на терминал, который подключен к корпоративной сети. На сервер установлены внутренние программы или приложения, тот же браузер, доступ к эмайл и сетевым ресурсам DS. Человек заходит удаленно так же на сервер и так же открывается десктоп-экран, и у него такие же иконки, как и на рабочем столе. Это возможность удаленно запускать приложения с нашего сервера, и это удобно. Но не сравнивайте RDP c VPN, VPN — это механизм шифрования трафика и обеспечения его целостности, а также анонимность. RDP — это использование протокола для подключения к удалённому компьютеру, для запуска приложений или удалённой работы или обслуживания рабочих станций. RDP протокол гораздо уязвимей, чем сам VPN. Поэтому самое безопасное — это RDP через VPN.