Transcript Презентация краткая о решение StoneGate SSL

Безопасный
удаленный доступ
(мобильный офис)
Нужен ли удаленный доступ и как обеспечить его безопасность ?
Stonesoft Russia
Рыночные тренды
тенденции
Возможные последствия
Централизация всех видов доступа в
Энтерпрайзах
Необходимо высоко масштабируемое и
мощное решение для всех пользователей,
с обеспечением кросс аутентификации.
Увеличение количества используемых
мобильных устройств
Обеспечение доступа с разных устройств и
с использованием различных
операционных систем.
Планы по обеспечению
восстановлению после катастроф и
доступности
Необходим постоянный , непрерывный
доступ в любое время и во всех
возможных условиях , с любых устройств.
Увеличение числа умных атак с
использованием malware
Необходим анализ безопасности
подключаемых устройств
Больше удаленных работников,
больше партнеров с удаленным
доступом
Труднее применять политики
безопасности и разграничивать доступ
пользователей, к ресурсам
Посмотрим на сотрудников
Доступ с ноутбука вне рабочего места: презентации,
совещания, встреча у клиента, из дома …..
Доступ в дороге : аэропорт, автомобиль (не зарулем ),
поезд ( через телефон), гостинница и др…- ноутбук ? Или?.
Доступ в отпуске, из дома с домашнего компьютера, от
клиента с чужого компьютера и др….
Доступ с коммуникатора: удобно получать почту мгновенно
и на телефон сразу (или планшет) в любых условиях,
особенно где нет кабинетных условий, например риелторы,
страхователи и др …
С точки зрения администратора , управление всеми этими
типами доступа уже проблема, а еще партнеры и др….
Типичная защита
удаленного доступа
Клиентское средство имеет впн клиент и антивирус
или не защищено никак – есть только рекомендации
на сайте ….
В случае ссл доступа, Браузер подключается к сайту используя
SSL соединение. Клиент аутентифицируется по сертификату с
флешки ( в лучшем случае с токена), а часто просто пароль
….особенно если это айпад или что то подобное .
На межсетевом экране прописаны ресурсы в виде сетевых
адресов куда можно «ходить» …..
В лучшем случае используется IPS ( чаще нет) между шлюзом
и ресурсами , с общими правилами …
Доступ в почту с телефона или планшета – как правило
настроенный агент Mail for exchange или Lotus traveler, а чаще
всего просто IMAP и SMTP c устройства ! Лишняя дыра в
безопасности !!!!
Разные устройства – разные
возможности безопасности
Для компьютеров с windows имеется
большой пул средств безопасности и
анализа, однако и атак больше чем на
другие системы
Linux – уже проблема ( а какой именно
линукс ???), слишком много дистрибутивов.
Который безопасен?
IPAD - чье устройство , какая политика
безопасности на нем, не «сливает» ли это
устройство данные куда то ?
Android – это открытое устройство ? Какие
программы на нем стоят? Какова политика
безопасности ?
Риски удаленного доступа
Риски относящиеся к воровству данных аутентификации (
по каналу связи) – информация может быть перехвачена
Физический неконтролируемый доступ к удаленным
компьютерам – можно установить шпионское ПО
Ограничения оборудования ( нет возможности воткнуть
USB токен с секретным ключом .
Доступ с неуправляемых удаленных устройств
Чувствительная информация может случайно остаться на чужом
устройстве
Чувствительная информация может быть сохранена
легитимным пользователем ( и оставлена)
Риски анонимности
Сложно понять с чего вообще осуществляется доступ, и
соответственно применить политику безопасности.
Пользователь может быть доверенным а на устройстве может
быть шпионское ПО .
Что Безопаснее?
Параметры
SSL VPN
к IPSec
Шифрование
Зависит от браузера
Сильное
Аутентификация
Любые методы
Любые методы
Контроль доступа
Доступ приложений
доступ компьютера к
ресурсам сети
Доступ приложений с
удаленного устройства
только разрешенные
(proxy)
Любые на устройстве
Журналирование
Подробное (application)
Подробное (сеть)
Поддержка разных
устройств
Просто, браузер,
(и) специальный агент
Нужен клиент (иногда
сложно)
Улучшено (анализ хоста)
Как правило доп
средства.
Простота использования для
пользователя
Просто . Нажать линк
Часто требуется знание
работы клиента.
Доступность ресурсов
Везде 443 порт открыт
Проблемы с экранами
Анализ удаленного
устройства
Почему SSL VPN ?
SSL VPN спроектирован для удаленного доступа
Нет проблем с NAT
Часто не требует клиента
Если используется специальный агент – то как правило
нет настроек со стороны клиента .
Все равно через какую сеть подключается
Как правило везде открыт доступ для SSL (443 порт)
Очень просто поддерживать и управлять на клиентской
части
Строгая политика безопасности ( дается доступ только
к тому что надо )
Пользователю проще работать ( портал )
Что нужно для обеспечения
безопасного доступа ?
Обеспечить защищенное соединение (шифрованное)
определить это свой пользователь ?
Определить это свое ( доверенное ) устройство или нет ?
Обеспечить безопасность удаленного устройства (NAC).
Обеспечить аудит действий пользователя .
Обеспечить возможность блокирования записи
информации в несанкционированные места …
Обеспечить разграничение доступа к ресурсам
Обеспечить удаление информации на удаленном
устройстве после окончания сеанса связи ( если надо )
обеспечить доступ с любых устройств ( по возможности)
StoneGate SSL VPN
•
Безопасный доступ с любых устройств



•
Интегрированное управление угрозами



•
Встроенная двух факторная аутентификация
Интеграция с любыми каталогами и др. ( AD, LDAP,
Oracle)
Поддержка single sign-on & ID federation
Только доверенные соединения .
Анализ целостности и безопасности устройства
Удаление «следов» работы пользователя.
Гранулированное и гибкое управление
доступом


Авторизация на уровне приложений
Концепция least privileges – только то что разрешено
Концепция ААА –
безнадежно устарела 
С StoneGate SSL VPN вы получаете намного
больше: АААААA... 
Аутентификация (authentication)
Авторизация (динамическая) (authorization)
Оценка соответствия (динамическая)
(assessment)
Разграничение доступа (Access control)
Туннелирование /защита трафика
Удаление следов (abolish)
Учет (accounting)
Анализ (Auditing)
Администрирование действий (Action rights)
StoneGate SSL VPN позволяет
ответить на вопросы :
КТО получает доступ?
Какие ресурсы аутентифицированному
пользователю доступны ?
С какого устройства он получает доступ ?
Это ЧЕЛОВЕК или программа?
Из какой сети он получает доступ ( например йота)?
Обеспечивается ли безопасность на удаленном
устройстве достаточным образом ?
Можно на это устройство копировать информацию ?
Разные уровни доступа
Полный
доступ
почта
Ограниченный
доступ
Полный
доступ
Нет доступа
файлы
При не прохождении отдельных видов тестов или доступе с
неавторизованного устройства, доступ к ресурсам может
быть ограничен политикой безопасности.
Различные уровни доступа
Устр.
Assessment
Antivirus = да
P Firewall = да
Registry = да
Integrity (files)=да
Serial , процессы = да
Проверка хоста = да
Antivirus = да
P Firewall = да
Integrity (files)=да
Serial = да
Политика locout = да
Antivirus = да
P Firewall = нет
Registry = нет
Проверка хоста = нет
Чужой Antivirus = нет
планше P Firewall = нет
т
Проверки хоста = нет
authentication
Строгая
двухфакторная,
+ проверка
соответствия
ноутбука
пользователю
Строгая
двухфакторная,
+ соовтетствие
пользователя и
устройства
Строгая
двухфакторная,
Пароль
Нет
соответствий
Accounting , Access
файлы = да
Web = да , почта = да
CRM = да , telnet = да
Timeout = 6 часов
проверка хоста =
периодическая
File = да, Web = да
Download=да
Timeout = 6 часов
почта – постоянная
синхронизация
Установить Pfirewall
Email – нет
Web mail = да
web = read only
Timeout = 1/2 часа
Отсылка на сервер
карантина
Action policy
Полный доступ к сети,
скачивание файлов,
Редактирование и
сохранение документов
и др.
Ограниченный набор
приложений,
редактирование
файлов, сохранение в
телефоне ограничено.
CRM – read only
Mail – Нельзя
сохранять файлы,
документы после
сеанса удаляются .
Нельзя передавать
файлы и др.
Безопасность хоста
Наличие Key logger?
Проверка антивируса,
других программ
Проверка патчей OS,
антивируса
безопасность
браузера
Проверки отсутствия IPforwarding & network
bridging
Определяет уровень
безопасности
устройства и дает
нужные права доступа
Проверки специфичных
файлов/процессов
/сервисов/портов/приложен
ий, ключей реестра
Проверка наличия Firewall
Анализ серийных номеров,
запущеных процессов
Сервера
приложений
Real time проверки
подключаемого устройства
SSL VPN
Gateway
Remote user
Активация Firewall
Безопасность обеспечивается динамически
APP server
Citrix
Oracle Db
File share
Lotus
MS Exchange
SSH Server
Web portal
Как нейтрализуются угрозы
персональный файрвол используется в
политиках по умолчанию и используется для
защиты хоста при подключении к ресурсам .
Добавляются дополнительные правила доступа
если антивирус недоступен или не обновлен (
авторизация)
Переподключение или новый анализ
безопасности если это необходимо ( ЕСЛИ
ПОЛИТИКА БЕЗОПАСНОСТИ НАРУШЕНА)
Отключение в необходимых случаях, когда
динамические проверки показывают
несанкционированную деятельность
пользователя
Как нейтрализуются угрозы
Если устройство анонимно :
Запрет доступа в более конфиденциальные
домены
Сканирование устройства и реестра :
Domain Membership; O/S
Контроль целостности файлов и реестра
Серийные номера HDD, Motherboard …
Наличие нужных ключей реестра
Проверка наличия нужных программ, запущенных
процессов
запреты на определенные действия, например на
закачку файлов или их изменение
Как нейтрализуются угрозы
Критические данные
удаляются
Технологии удаления кеш
и других областей
Данные обрабатываются
в «песочнице»
Слежение за
определенными
файлами которые
скачиваются на
удаленное устройство.
Сценарии доступа
• Web доступ через портал
– Доступ с использованием браузера к приложениям или ресурсам
опубликованным на внутреннем защищенном портале
– Web доступ к файлам, почте и др. приложениям поддерживающим WEB
• Доступ приложения
– Обеспечивается доступ определенных (разрешенных) приложений на
клиентском устройстве к ресурсам защищаемой сети
– Отсутствие настроек на клиентском месте, работа как в локальной сети
• Сетевой доступ (динамический туннель)
–
–
–
–
Поддерживаются любые порты и приложения. .
Доступ аналогичен использованию IPSEC клиента.
Позволяет упростить конфигурации для неизученных приложений
Позволяет передавать голос, видео …
Как это работает ?
Для клиента это выглядит как доступ на веб сайт проще не бывает .
Просто набираем сайт типа https:\\yoursite.ru
Выбираем метод аутентификации, ввели
аутентификационные данные и … попали в портал
Как это работает ?
Для работы с ресурсом нужно просто кликнуть нужную
иконку и нужное приложение или ресурс откроется ….
Подключение
намного проще
чем при
соединении IPSec
– пользователю не
нужно управлять
клиентом - только
ввести свой
пароль ( например
одноразовый) и
все - он получил
доступ к ресурсам
.
Типичная
установка
SSL
VPN
Типично шлюз устанавливается в DMZ компании. К нему
открывается только доступ HTTP и HTTPS.
Соединения
проводятся
сервисы
исключительно
DMZ
LDAP
через SSL тунель
MS AD
со строгой
аутентификацией
Oracle
Internet
TCP/443 (SSL)
Novell
Radius
RSA
TCP/UDP (ANY)
Сервера
приложений
APP server
Citrix
Oracle Db
File share
Lotus
MS Exchange
SSH Server
Web portal
Поддержка приложений
Поддерживаетс
я большое
количество
приложений
позволяя
обеспечивать
нативный
доступ
приложения к
ресурсам сети
Технология
Active
Sync
Все кто имеет телефон или планшет знает что очень
удобно иметь почту на телефоне, которая мгновенно
синхронизируется. Как обеспечить безопасность ?
Обычный подход – туннелирование – часто сложно
обеспечить и часто медленная работа и глюки.
Второй вариант – сделать дырку до сервера почты
…
StoneGate SSL - Нативная поддержка,
Mail for exchange.
Обеспечивает постоянный доступ
приложений без участия пользователя
Проблемы сертифицированных
SSL VPN решений
в настоящий момент все решения представлены
криптопровайдерами .
В правилах пользования всех криптопровайдеров
написано – обеспечить анализ встраивания ….
Нет реального шлюзового решения – есть только
руководства как встроить в разные сервера ( Apache)
нет сертификации ФСТЭК как решения
Требуют доводки решения после встраивания до
работоспособного состояния
Сертификация
Для полного соответствия Российскому
законодательству SSL VPN прошел сертификацию
ФСТЭК:
Шлюз защиты удаленного доступа StoneGate
SSL* – 3 класс МЭ (многокомпонентного),
1класс ПДн, 4 класс НДВ.
В составе сертифицирована система многофакторной
аутентификации!
И ФСБ :
Классы КС1 – КС2 !
Поддерживаются криптопровайдеры ( прописаны в
сертификатах) : Криптопро, Валидата!
Различные исполнения
Сейчас доступно 8 исполнений по линии
сертификации ФСБ !
1. три исполнения шлюза SSL VPN Server. ( КС1 –
КС2 а также вариант с устройством МАРШ).
2. Исполнение КС1 для сред Windows ( любых) и
Linux ( широкий набор)
3. Исполнение КС2 – на изделии МАРШ , в средах
Windows, Linux.
4. Исполнения КС3 ( скоро выход) – для среды Win
XP и в перспективе для Win7. а также для шлюза
доступа.
Чем решение отличается от
текущих решений SSL-GOST
На рынке много решений SSL, которые сертифицированы (
библиотеки Криптопро, МагПро и другие)
почувствуйте разницу :
Масштабируемость до любых размеров ( до 32 шлюзов )
Поддержка работы приложений (туннель ) а не только браузер
Работа на разных платформах с поддержкой приложений
Мощная встроенная система двухфакторной аутентификации
Single Sign On (SSO) Federated ID
Анализ безопасности подключаемого устройства (security checks)
End-Point защита (сканирования, персональный экран)
Нет требования о контроле встраивания !
Готовое, сертифицированное решение !
Комплексная безопасностьэто просто .
Предотвращение вторжений
Виртуальные сети
Безопасный удаленный доступ
Защита периметра
Управление событиями
и инцидентами