Отдельные офисы, по всей видимости, уходят в прошлое: они мешают общению и способствуют неподвижности сотрудников и размышлениям о собственном статусе. Современные компании предпочитают крупные помещения без фиксированных рабочих мест, причем иногда они довольно привлекательно вписываются в рабочий ландшафт, в экзотических случаях в виде фойе смежного тематического ресторана. Далеко не каждый сотрудник может к этому приспособиться.
Действительная причина такой тенденции гораздо прозаичнее приводимой в оправдание теории коммуникации: офисные здания дороги, поэтому в аренду берутся лишь необходимые площади для размещения основных ресурсов и максимального количества сотрудников, которые должны в каждый конкретный момент присутствовать на собрании или на обсуждении общих проектов. Остальной персонал распределен по домашним и совместно арендуемым офисам или находится в командировках.
Одновременно предприятия уменьшают количество штатных сотрудников и все чаще прибегают к помощи вольнонаемных или предпринимателей, занимающихся предоставлением услуг по контракту, причем границы между бизнес-моделями становятся все более размытыми.
РИСК ВОЗРАСТАЕТ
Важнейшее следствие новых условий работы для безопасности ИТ заключается в том, что при доступе к корпоративным ресурсам необходимо контролировать постоянно меняющиеся уровни риска. К примеру, в случае классического внутреннего сотрудника с неизменной сферой деятельности опасность не слишком велика — персональный компьютер и установленное на нем программное обеспечение известны администратору и сравнительно легко доступны, коммуникационные пути полностью подконт-рольны, а фильтры содержимого более или менее защищают сеть от вредоносного кода. Права доступа также не меняются в течение длительного периода времени. Кроме того, клиенты могут быть включены в общекорпоративную концепцию резервного копирования и восстановления данных, либо же важные данные находятся непосредственно под защитой серверов.
ОПРЕДЕЛЕНИЕ МЕСТОПОЛОЖЕНИЯ КАК ФАКТОР БЕЗОПАСНОСТИ
Концепция открытого внутреннего офиса, когда сотрудник постоянно подключается к сети из новых мест, уже чревата возникновением серьезных проблем. Как в классической проводной, так и при использовании беспроводной сети может потребоваться даже блокирование доступа к наиболее чувствительным ресурсам, если пользователь находится в той части здания, где экран его компьютера не защищен от любопытных глаз посторонних людей. В случае беспроводной сети для реализации таких ограничений устанавливают решение для определения местоположения персонального компьютера, предлагаемое, к примеру, Bluesocket.
Если для удаленного доступа во время командировок или из домашнего офиса применяются виртуальные частные сети (Virtual Private Network, VPN), то почти все варианты IPSec и SSL или глобальные решения доступа, к примеру от iPass, обладают функциями, при помощи которых в процессе подключения клиента к корпоративной сети можно определить его состояние и связанный с ним риск, а затем автоматически снизить его (см. Рисунок 1). В случае жестких ограничений на использование или особенно критичных областей существует возможность полного блокирования доступа, вступающая в силу, когда пользователь самовольно производит изменения в программном обеспечении. Чаще всего эта технология применяется для проверки работоспособности и актуальности защиты от вирусов и персонального брандмауэра. При необходимости пользователь принудительно перенаправляется в карантинную область с ограниченными правами или на сайт, где ему предлагается обновить имеющийся инструментарий обеспечения безопасности (см. Рисунок 2).
|
| Рисунок 2. При отсутствии «заплат» приходится оставаться после занятий: сервер университета Каролины отправил клиента на карантинную страницу в соответствии с концепцией Enterasys. |
Когда предприятие сотрудничает с вольнонаемными специалистами, на конфигурацию персональных компьютеров которых оно повлиять не может, помимо описанных функций оценки риска приходится договариваться об использовании приемлемого минимального набора инструментов и мер обеспечения безопасности — к примеру, функционирующей защиты от вирусов, определенного уровня «заплат», запрета на второе соединение с Internet при открытом канале VPN и деактивации маршрутизации на клиенте VPN. Подобные меры важны еще и потому, что внештатные сотрудники обычно работают с несколькими заказчиками — зачастую они даже вынуждены так поступать, чтобы не навлечь на себя упреки в мнимой самостоятельности. Никто не вправе требовать от них, чтобы для каждого клиента они имели отдельный компьютер.
Между тем уже даются прогнозы о том, что виртуальные частные сети скоро станут стандартной формой соединения между клиентом и сервером, в том числе и внутри предприятий. Тогда нешифруемые каналы выйдут из употребления.
ЧАСТАЯ СМЕНА РОЛЕЙ ПОДСТЕГИВАЕТ АДМИНИСТРАТОРОВ
Часто сотрудники предприятия не имеют четко определенных ролей — тот, кто сегодня был обычным исполнителем, завтра, возможно, возглавит рабочую группу в штаб-квартире, послезавтра станет консультантом в филиале на другом континенте, а потом снова вернется к первоначальной деятельности. Управление доступом на основе ролей позволяет осуществлять распределение все новых обязанностей в динамичной среде столь быстро, что сотрудникам при переходе от одной работы к другой не приходится мириться с непродуктивным ожиданием.
ПОВСЕМЕСТНОЕ УПРАВЛЕНИЕ РИСКАМИ
Интересно, что производители решений аутентификации для доступа к Web и к сети целенаправленно вводят технологии, объединяющие регистрацию в системе с анализом рисков. Entrust, к примеру, встроила подобную возможность в последнюю версию Identity Guard, а RSA объявила о намерении приобрести для реализации таких функций специализирующееся на этом предприятие Cyota.
В обоих случаях целью является сделать аутентификацию автоматически зависимой от таких факторов, как выбранное соединение, используемое конечное устройство или желаемое действие с целевой системой. Подобные решения позволяют не только укрепить безопасность, но и более удобны в применении: в частности, те, кто находится непосредственно в офисе, могут избежать некоторых этапов регистрации, занимающих много времени. Кроме того, эти продукты могут пригодиться, когда один и тот же сотрудник пользуется различными устройствами с разными уровнями безопасности для получения информации из корпоративных источников. И чем больше степень автоматизации, тем меньше стоимость поддержки, поскольку рассматриваемый нами мобильный рабочий мир транснационального предприятия активен круглые сутки, ведь действующие лица располагаются в разных часовых зонах.
УПРАВЛЕНИЕ ДОСТУПОМ НА СЕТЕВОМ УРОВНЕ
Управление доступом на основе рисков возможно и на сетевом уровне. Enterasys, к примеру, в своем решении Trusted End System реализовала концепцию, где учтены проблемы, связанные с такими устройствами, как IP-телефоны и IP-камеры. Предприятие делает ставку на карантин сети, когда уровень безопасности конечной системы учитывается уже в процессе аутентификации посредством 802.1x, Web или MAC, еще до окончательного подключения к инфраструктуре локальной сети. Решение работает либо с агентами (причем в качестве программ контроля состояния на клиентах используются настольные брандмауэры производства партнеров — Sygate и Zonelabs), либо совсем без агентов. В обоих случаях аутентификация клиента происходит по протоколу 802.1х на сервере предприятия, причем он функционирует в качестве сервера RADIUS или посредника. Агенты передают результат своего анализа состояния клиента в расширении протокола EAP. На основе отчета о состоянии клиенту могут быть предоставлены большие или меньшие права доступа. При отсутствии возможности использования агентов система сначала переправляет клиента в среду, где производится сканирование на уязвимости, а затем, получив результаты, определяет, как поступать дальше.
Йоханнес Вилле — эксперт в области безопасности. С ним можно связаться по адресу: redaktion@lanline.awi.de.
Тонкий клиент против ноутбука
С тонкими клиентами, как надеются администраторы, на предприятия вернется старое доброе время больших компьютеров — с централизованным администрированием и стандартными клиентами, на которых пользователи не будут заниматься всякой ерундой. Все приложения и важнейшие данные будут находиться на сервере. Вычисления на базе серверов подходят и для современного делового мира, как утверждают их сторонники, поскольку в этой среде никому не нужен «собственный» персональный компьютер: каждый сотрудник может войти в систему при помощи терминала и получить доступ к своей рабочей среде на сервере.
Почему такой подход ограничен, показывает этот комментарий. Я пишу его в дороге. Соединение с редакционной системой получить не могу, поэтому для обработки текста необходим персональный компьютер. От своего архива и поисковой системы, размещенных на ноутбуке, отказаться также невозможно. Кроме того, он служит в качестве хранилища цифровых фотографий, доступ в Internet также нужен постоянно. Редакционный план в формате Excel, как вы уже догадались, у меня тоже с собой.
Результат: пока дешевая беспроводная сеть не проникла в самый далекий уголок земли, погоду будут делать толстые клиенты. К счастью, в виде все более легкого персонального компьютера.
? AWi Verlag