.
Корпоративные данные в такой модели организации работы хранятся и обрабатываются строго на стороне корпоративного сервера, пользователю же в терминальной сессии предоставляется только результат обработки. Предоставленная через терминальный доступ виртуальная среда также сразу содержит элементы защиты среды передачи данных, антивирусную защиту и другие средства информационной безопасности. Вторая сторона виртуализации – это личная зона пользователя. Внедрение элементов безопасности на персональных устройствах на практике реализуемо с огромными усилиями как организационного, так и технического характера (сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие гарантий предоставления личного устройства службе ИТ и т.д). Специализированные решения для мобильных устройств, относящиеся к классу Mobile Device Management и работающие резидентно на мобильных устройствах, всего лишь создают изолированный защищенный контейнер для корпоративных данных на мобильном устройстве. Они обеспечивают только базовый контроль подключаемых к личному устройству локальных каналов хранения и передачи данных, но при этом сами все еще весьма уязвимы и не могут стопроцентно гарантировать защиту хранимых на персональном устройстве данных в силу ряда технических обстоятельств. Кроме того, большую роль играет и человеческий фактор – не будем забывать, что мы все-таки имеем дело с персональным устройством и, как правило, однопользовательской операционной системой.
В сценарии с использованием виртуальной рабочей среды и предоставлением к ней доступа через терминальные сессии логично будет с помощью DLP-технологий поставить под контроль утечку данных через сетевые протоколы, доступные внутри виртуальной среды, корпоративные файловые хранилища и принтеры, а также перенаправляемые внутрь терминальной сессии личные периферийные устройства, в том числе буфер обмена. Важно подчеркнуть, что такой сценарий является универсальным и применим на всех видах личных устройств. В их числе могут быть любые мобильные платформы - такие как iOS, Android и Windows RT, тонкие терминальные клиенты под управлением Windows CE, Windows XP Embedded или Linux, а также любые компьютеры под управлением OS X, Linux или Windows. Все, что нужно сотруднику – это клиент для удаленного доступа по протоколу RDP или ICA (например, Citrix Receiver) или же в качестве терминального клиента используется любой веб-браузер, поддерживающий HTML5. С серверной стороны в сценарии с HTML5 требуется дополнительный компонент архитектуры терминальной среды — прокси-сервер RDP-HTML5, переводящий стандартный протокол удаленного доступа (RDP или ICA) в протокол HTML5/WebSockets. Как следствие, службе ИТ не приходится тратить время и силы на развертывание специализированного программного обеспечения для терминальных сетей, благодаря чему такой сценарий предоставления терминального доступа к корпоративным ресурсам может стать очень популярным.
Описанная выше схема – далеко не единственная для активного применения терминальных сред. Часто встречается сценарий, когда серверы компании размещаются в «облаке», а сотрудники офиса работают с данными из «облака» через терминальную среду. Особенно часто в «облако» помещается корпоративный почтовый сервер, а пользователи получают доступ к почте посредством опубликованного приложения (например, Microsoft Outlook в среде Citrix XenApp), запускаемого на внешнем сервере. Еще одна актуальная сфера применения терминального доступа – это решение задачи обеспечения безопасности при подключении собственных устройств сотрудников.
Службе информационной безопасности после создания стерильной среды пользователя, доступной через терминальные сессии, остается только позаботиться о внедрении в виртуальную среду средств защиты от утечек данных. Одним из таких решений является DLP-комплекс DeviceLock Endpoint DLP Suite.
Основная задача – не допустить попадания корпоративных данных на персональные (домашние либо арендуемые) компьютеры и мобильные устройства из терминальных и виртуальных сред. В данной ситуации DLP-решение для виртуальных сред, устанавливаемое на стороне терминального сервера, а не клиента, призвано расширить возможности службы информационной безопасности по созданию изолированной защищенной рабочей среды, а именно в решении задачи предотвращения утечек данных при использовании различных решений виртуализации рабочих сред, созданных как в форме локальных виртуальных машин, так и терминальных сессий рабочих столов или опубликованных приложений на серверах виртуализации, к которым добавляется DLP-агент. DLP-политики для виртуальных сред должны обеспечить контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие компьютеры периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными. Кроме того, они должны осуществлять централизованное журналирование действий пользователя и теневое копирование переданных им файлов и данных.
Рассмотрим классический сценарий — на удаленном личном компьютере пользователя (планшете или домашнем компьютере) используется программное обеспечение терминального клиента для предоставления пользователю в рамках терминальной сессии удаленного доступа к корпоративной рабочей среде, организованной в виде виртуальной машины, или опубликованному бизнес-приложению. В целях повышения производительности и эффективности работы пользователя на его персональном устройстве локально подключаемые периферийные устройства и буфер обмена перенаправляются в терминальную сессию. В частности, это объясняется необходимостью сохранения доступных через терминальную сессию документов на флэш-диске или печати на локально подключенном принтере, а также копирования и вставки данных через буфер обмена в бизнес-приложениях, с которым пользователь работает в терминальной сессии.
При этом предполагается, что содержимое документа (или данных), передаваемых через перенаправленные устройства или буфер обмена данными вовне терминальной сессии, полностью соответствует корпоративной политике безопасности и не содержит данных, утечка которых недопустима (то есть нарушающих корпоративную политику безопасности или иные регулирующие правительственные и отраслевые нормы).
В условиях перенаправления локальных периферийных устройств и буфера обмена на терминальный сервер DLP-решение DeviceLock, будучи установленным на виртуальной машине, доступ к которой пользователь получает через терминальную сессию, перехватывает их и в режиме реального времени осуществляет проверку, допустимо ли использование перенаправленных локальных устройств и специфические операции с данными (контроль на уровне контекста операций), а также проверяет содержимое передаваемых данных. Таким образом, решение производит контентный анализ данных на предмет их соответствия DLP-политикам, заданным для данного сотрудника при использовании терминальных сессий. В случае выявления нарушения заданных DLP-политик операция передачи данных прерывается. При этом создается соответствующая запись в журнале аудита и теневая копия данных, которые пользователь пытался передать через контролируемые устройства в терминальной сессии, а также отправляется тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов информационной безопасности.
Таким образом, при наличии заданных DLP-политик, определяющих допустимость использования корпоративных данных, DeviceLock гарантирует, что передача этих данных пользователем находится строго внутри границ виртуальной терминальной среды (терминальной сессии), и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (мобильного либо домашнего), оставаясь при этом доступными для эффективного выполнения бизнес-задач.
Кроме того, DeviceLock обеспечивает контекстную и контентную фильтрацию сетевых коммуникаций, используемых внутри виртуальной корпоративной среды. Пользователь может, например, отправить коллеге разрабатываемый им документ по электронной почте непосредственно из приложения Microsoft Word. DeviceLock будет отслеживать и анализировать контекст этой операции (например, разрешено ли вообще пользователю отправлять сообщения этому коллеге) и содержимое передаваемого документа. Если отправляемый документ содержит контент, передача которого не допускается корпоративной политикой безопасности, операция передачи будет блокирована, при этом будет создана запись в журнале аудита и сохранена теневая копия документа, а также отправлено тревожное оповещение.
В результате DeviceLock Endpoint DLP Suite обеспечивает полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях применения решений виртуализации, построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей. Компании могут полностью контролировать корпоративные среды, переданные на персональные устройства сотрудников. Кроме того, службы информационной безопасности могут отслеживать, проверять и отфильтровывать содержимое обмена данными между защищенной рабочей средой и персональным устройством, а также подключенными к нему периферийными устройствами и сетевыми каналами – что особенно важно, учитывая, что все эти каналы передачи данных вне корпоративных границ становятся небезопасными и должны рассматриваться как угроза для системы защиты корпоративной информации.