Manažer bezpečnosti: BYOD dostane velkou podporu

11. 8. 2013

Sdílet

 Autor: © vetkit - Fotolia.com
Klíčovou technologií pro bezpečné používání osobních zařízení v síti je infrastruktura virtuálních desktopů.

Trouble Ticket
Co řešit: Začíná se realizovat záměr ředitele IT umožnit větší využití zařízení vlastněných samotnými zaměstnanci.
Akční plán: Bezpečně implementovat VDI, aby bylo možné identifikovat uživatele i při použití neznámých zařízení.

Děláme velké pokroky směrem k cíli našeho ředitele IT umožnit používání vlastních zařízení pro pracovní účely (BYOD). Pro mě to určitě není předčasné.

Důvodem je, že pracovníci stále hledají způsoby, jak si vlastní počítače Mac, tablet PC a další mobilní přístroje připojit do našeho interního firemního prostředí, a to jak v zaměstnání, tak i vzdáleně.

Při dosavadní absenci zásad to fungovalo tak, že se vše mohlo dělat do doby, než byl někdo přistižen. Přijetím nového trendu a vytvořením pokynů máme šanci kontrolovat, co je připojeno do naší sítě, a naše prostředí tak lépe zabezpečit.

Klíčová role VDI
Jednou z důležitých technologií, které to umožní, je VDI (infrastruktura virtuálních desktopů) – pokud je ale nasazena vhodným způsobem. Tento týden jsem se setkal s týmem projektu VDI, abych zajistil, že to tak opravdu bude.

Jednou z výhod toho, že umožníte připojení do své sítě jen známým zařízením, je, že můžete sledovat počítače uživatelů i jejich lokalitu, protože znáte všechny IP adresy, názvy počítačů a MAC adresy, které jsou povoleny.

Množinu zařízení, která se připojují k síti, lze ale rozšířit, protože samu identifikaci pracovníka zajistí právě VDI. Pokud se například do sítě dostane nějaký malware, využijeme audit a logy událostí a náš nástroj SIEM (správa událostí a incidentů zabezpečení) k tomu, abychom vypátrali zdroj nákazy.

Plánujeme tedy, že povolíme přístup k VDI i z nedůvěryhodných prostředí – například z počítače v internetovém kiosku někde na cestě kolem světa. Jedním z mých požadavků je, aby byl se použil režim izolovaného prostoru, který zajistí nemožnost přímé interakce mezi nedůvěryhodným počítačem a prostředím VDI.

Díky tomu nedokáže malware proniknout do pro nás důvěryhodného prostředí VDI a zároveň nebude možné stáhnout duševní vlastnictví firmy do vzdáleného počítače. (Některá taková omezení ale půjde vypnout, pokud VDI zjistí, že vzdálený stroj je ve vlastnictví naší firmy.)

Chci také přísná pravidla ohledně vypršení času relace a pro zamčení obrazovky, aby se zmírnily problémy vznikající z opominutí pracovníků, kteří by opustili veřejně dostupný počítač třeba v kavárně bez odhlášení z VDI.

Řešení VDI může být užitečné také při řízení přístupu dalších lidí. To zahrnuje prodejce, partnery, dodavatele, distributory, smluvní partnery či konzultanty. Někteří z těchto pracovníků potřebují přístup k naší infrastruktuře a aplikacím, ale poskytnout jim VPN klienta může být noční můrou, protože pro každý případ je potřeba mít různé úrovně přístupu.

VDI nám umožní použít konfiguraci se známým „pravidlem minimálního oprávnění“ (což je jedna z mých základních bezpečnostních zásad) pro všechny naše pracovníky a spolupracovníky. To pomůže lépe chránit naši infrastrukturu a omezit případné vyzrazování duševního vlastnictví.

Vlastnosti bezpečnostního řešení
Řekl jsem také projektovému týmu, že potřebujeme přihlašovací banner upozorňující uživatele, že budou omezeni ve svém soukromí. Naše právní oddělení totiž vyžaduje, abychom uživatele přinutili odsouhlasit kliknutím možnost, že naše společnost může sledovat jejich aktivitu.

Další z mých požadavků je, aby na hostitelském počítači nezůstaly žádné údaje týkající se činnosti VDI poté, co se uživatel odhlásí. To je obzvláště důležité, pokud je počítač nedůvěryhodný (jako například v internetové kavárně).

Kromě toho musí být prostředí VDI integrováno do služby Active Directory, aby bylo možné automaticky vypnout VDI pro bývalé či pro současné zaměstnance, kteří již takový přístup nepotřebují.

A nakonec  – jako u všech vzdálených připojení  – musí být jakýkoli přístup k prostředí VDI šifrován a musí vyžadovat dvoufaktorovou autentizaci.

bitcoin_skoleni


Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.



Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.