Решаем проблемы регистрации в небезопасной сети
Несмотря на то, что Microsoft Virtual PC 2004 — это весьма многогранный программный продукт, мало кто рассматривает его как средство обеспечения безопасности. Но когда Майку Николу, разработчику серверной архитектуры для компании Telstra Business Systems (TBS), провайдера ИT-услуг для объединенных сетей (и вспомогательного подразделения Австралийского телекоммуникационного гиганта Telstra), понадобилось организовать для персонала TBS простой способ регистрации в удаленной системе заказчика, он воспользовался именно Virtual PC 2004. Я побеседовала с Майком о столь оригинальном применении Virtual PC.
Расскажите, пожалуйста, о проблеме безопасности, которую вам пришлось решать.
Мы предоставляем услуги компании, в сети которой не соблюдаются строгие требования к безопасности, установленные в TBS. Фактически их корпоративная сеть подключена к телефонной сети. Мы приложили значительные усилия, чтобы избежать подключения системы заказчика к корпоративной сети TBS — нам не хотелось скомпрометировать собственную систему безопасности. Кроме того, мы поддерживаем службы для огромного количества государственных учреждений и корпораций и должны твердо придерживаться строгих требований к безопасности. Подключение к ненадежной сети свело бы на нет все наши усилия.
Однако сотрудники TBS, которые ежедневно занимаются поддержкой служб нашего заказчика, должны были иметь возможность устанавливать соединения с сетью клиента, с одной стороны, и возможность подключаться к нашей корпоративной сети — с другой. Раньше это осуществлялось при помощи двух выделенных персональных компьютеров: один компьютер подключался к сети TBS, а другой — к сети клиента. Очевидно, что использовать такое решение было не очень удобно, да и на рабочем столе сотрудников оно занимало много места.
Почему вы пришли к выводу, что проблему можно решить при помощи Virtual PC 2004?
Иногда очевидное решение — попытаться сделать клиентскую сеть более безопасной, чем мы обычно и занимаемся. Но в данном случае наш клиент, исходя из собственных требований к безопасности, не хотел подключаться к такой сети. Я убежденный сторонник менее тяжеловесных решений, и считаю, что нужно использовать имеющиеся технологии. Нам потребовалось недорогое, простое в использовании решение, для поддержки которого не нужно было бы вкладывать дополнительные средства в обучение. Virtual PC 2004 как раз соответствует таким требованиям.
Как работает это решение?
Мы нарастили память в стандартных компьютерах с 512 Мбайт до 1 Гбайт, установили две сетевые платы и подключили два монитора. Затем запустили Virtual PC 2004 в конфигурации с выделенным сетевым адаптером, настроенным на сеть заказчика, и отвязали его от хоста во избежание любых кросс-соединений. Утром сотрудники приходят на работу, включают компьютеры и регистрируются так, как если бы выполнялась стандартная регистрация в корпоративной сети (на хосте), а чтобы зайти в сеть заказчика, достаточно щелкнуть по вынесенной на рабочий стол пиктограммке. Некоторые наши пользователи проводят рабочее время в основном в сети заказчика, для кого-то переключение между двумя сетями — стандартный режим. Когда мы предложили решение на базе Virtual PC 2004, часть сотрудников высказала некоторые сомнения на этот счет, просто потому, что вводилась новая технология. Однако спустя месяц или два все привыкли, и подчас пользователи просто забывают, что работают в виртуальной системе.
Простота решения удовлетворяет и нас, и наших клиентов. Мы используем Virtual PC 2004 не так, как принято задействовать эту технологию, но в итоге избавились от дополнительных расходов, сэкономили место на рабочем столе и предоставили своим клиентам простой в применении инструмент. Результат оказался вполне приемлемым и соответствует текущим требованиям безопасности. Сегодня Virtual PC в нашей компании используется как в тестовой среде, так и в рабочем процессе.
Вы нашли простое решение и, что называется, убили сразу двух зайцев, применив широко распространенную технологию весьма оригинальным образом. С какими проблемами безопасности вы можете столкнуться, используя это решение?
Я думаю, что самая большая проблема — это наши собственные сотрудники, и не столько в техническом смысле, сколько с точки зрения социального инжиниринга. У нас насчитывается почти 200 технических специалистов, которые выезжают к клиентам, обеспечивая работоспособность как наших служб, так и корпоративных телефонных станций на местах. Наши сотрудники используют переносные компьютеры для подключения к сети клиента через последовательный порт или Internet-подключение и должны получать доступ к сети клиента, куда обычно из корпоративной сети доступа нет. Кроме того, им приходится поддерживать актуальное состояние систем, проверять «чистоту» своих компьютеров — никто же не хочет, чтобы сеть клиента или корпоративная сеть была заражена через ноутбуки наших специалистов.
Как вы полагаете, что нужно сделать, чтобы технический персонал с большим пониманием подходил к вопросам безопасности?
Мы поддерживаем постоянный контакт с нашими специалистами и стараемся использовать такой подход к безопасности, когда человеку не нужно диктовать порядок действий — мы лишь стараемся обеспечить безопасность каждого. Когда люди — во всяком случае, большинство из них — понимают это, они перестают относиться к вам как к полицейским; вы же действительно стараетесь им помочь. Мы не настаиваем на каких-то отдельных элементах политики безопасности, например, потому, что не хотим, чтобы кто-то пользовался MP3. Наша цель — поддерживать свою корпоративную сеть и сеть заказчика в безопасном состоянии.
Мне кажется, в сфере ИT существует тенденция везде, где только возможно, навязывать политику безопасности. Я давно заметил, что, когда ко мне кто-нибудь обращается с вопросом «А при чем тут безопасность?», я не могу вот так просто — безо всяких объяснений — навязывать свою точку зрения. Но если уделить человеку внимание и разъяснить свою позицию, то если он и не будет радоваться введению ограничений, так хотя бы поймет, для чего они нужны, и будет поддерживать предложенную политику безопасности.
Энн Грабб - старший редактор Windows IT Pro. Автор и редактор статей, книг и других материалов по компьютерной и юридической тематике. agrubb@windowsitpro.com