Äskettäin jaettu organisaatiossamme. Kommentit nostivat esiin vakavan ongelman USB over IP -laitteistoratkaisujen tietoturvasta, mikä huolestuttaa meitä suuresti.
Joten ensin päätetään alkuehdot.
- Suuri määrä sähköisiä suoja-avaimia.
- Niihin on päästävä eri maantieteellisistä paikoista.
- Harkitsemme vain USB over IP -laitteistoratkaisuja ja yritämme varmistaa tämän ratkaisun organisatorisilla ja teknisillä lisätoimenpiteillä (emme vielä harkitse vaihtoehtoja).
- Tämän artikkelin puitteissa en kuvaa täysin harkitsemiamme uhkamalleja (näet paljon ), mutta keskityn lyhyesti kahteen kohtaan. Jätämme mallin ulkopuolelle sosiaalisen manipuloinnin ja käyttäjien itsensä laittomat toimet. Harkitsemme mahdollisuutta luvattomasti käyttää USB-laitteita mistä tahansa verkosta ilman tavallisia tunnistetietoja.
USB-laitteiden käytön turvallisuuden varmistamiseksi on toteutettu organisatorisia ja teknisiä toimenpiteitä:
1. Organisaation turvatoimenpiteet.
Hallittu USB over IP -keskitin on asennettu laadukkaaseen lukittavaan palvelinkaappiin. Fyysinen pääsy siihen on virtaviivaistettu (kulunvalvontajärjestelmä itse tiloihin, videovalvonta, avaimet ja pääsyoikeudet tiukasti rajoitetulle henkilömäärälle).
Kaikki organisaatiossa käytetyt USB-laitteet on jaettu kolmeen ryhmään:
- Kriittinen. Taloudelliset digitaaliset allekirjoitukset – käytetään pankkien suositusten mukaisesti (ei USB over IP:n kautta)
- Tärkeä. Elektronisia digitaalisia allekirjoituksia kaupankäyntialustoille, palveluille, sähköisten asiakirjojen kulkua, raportointia jne., useita avaimia ohjelmistoille - käytetään hallitun USB over IP -keskittimen avulla.
- Ei kriittinen. Hallitun USB over IP -keskittimen avulla käytetään useita ohjelmistoavaimia, kameroita, useita flash-asemia ja ei-kriittisiä tietoja sisältäviä levyjä, USB-modeemeja.
2. Tekniset turvatoimenpiteet.
Verkkoyhteys hallittuun USB over IP -keskittimeen on saatavilla vain erillisessä aliverkossa. Pääsy eristettyyn aliverkkoon tarjotaan:
- päätepalvelinfarmista,
- VPN:n (sertifikaatin ja salasanan) kautta rajoitettuun määrään tietokoneita ja kannettavia tietokoneita, VPN:n kautta niille myönnetään pysyviä osoitteita,
- aluetoimistoja yhdistävien VPN-tunnelien kautta.
Hallitussa USB over IP -keskittimessä DistKontrolUSB, sen vakiotyökaluilla, määritetään seuraavat toiminnot:
- USB over IP -keskittimen USB-laitteiden käyttämiseen käytetään salausta (SSL-salaus on käytössä keskittimessä), vaikka se saattaa olla tarpeetonta.
- "USB-laitteiden käytön rajoittaminen IP-osoitteen perusteella" on määritetty. IP-osoitteesta riippuen käyttäjälle myönnetään tai ei saa käyttää määritettyjä USB-laitteita.
- "Rajoita pääsyä USB-porttiin kirjautumistunnuksella ja salasanalla" on määritetty. Tämän mukaisesti käyttäjille on määritetty USB-laitteiden käyttöoikeudet.
- ”USB-laitteen käytön rajoittaminen sisäänkirjautumisella ja salasanalla” päätettiin olla käyttämättä, koska Kaikki USB-avaimet on kytketty pysyvästi USB over IP -keskittimeen, eikä niitä voi siirtää portista toiseen. Meidän on järkevämpää tarjota käyttäjille pääsy USB-porttiin, johon on asennettu USB-laite pitkäksi aikaa.
- USB-porttien fyysinen kytkeminen päälle ja pois päältä tapahtuu:
- Ohjelmisto- ja EDM-näppäimet - käyttämällä tehtävän ajastinta ja keskittimen määritettyjä tehtäviä (useita näppäimiä ohjelmoitiin käynnistymään klo 9.00 ja sammumaan klo 18.00, numero klo 13.00-16.00);
- Avaimet kaupankäyntialustoille ja useille ohjelmistoille - valtuutetuilta käyttäjiltä WEB-rajapinnan kautta;
- Kamerat, useat flash-asemat ja levyt, joissa on ei-kriittisiä tietoja, ovat aina päällä.
Oletamme, että tämä USB-laitteiden käytön järjestäminen varmistaa niiden turvallisen käytön:
- aluetoimistoista (ehdollisesti NET No. 1...... NET No. N),
- rajoitetulle määrälle tietokoneita ja kannettavia tietokoneita, jotka yhdistävät USB-laitteita maailmanlaajuisen verkon kautta,
- käyttäjille, jotka on julkaistu päätesovelluspalvelimilla.
Kommenteissa haluaisin kuulla konkreettisia käytännön toimenpiteitä, jotka lisäävät USB-laitteiden globaalin pääsyn tarjoamisen tietoturvaa.
Lähde: will.com