ProHoster > blog > amministrazione > Sicurezza delle informazioni delle soluzioni hardware USB over IP

Sicurezza delle informazioni delle soluzioni hardware USB over IP

Condiviso di recente esperienza nella ricerca di una soluzione per organizzare l'accesso centralizzato alle chiavi elettroniche di sicurezza nella nostra organizzazione. I commenti hanno sollevato un serio problema di sicurezza delle informazioni delle soluzioni hardware USB su IP, che ci preoccupa molto.

Quindi, per prima cosa, decidiamo le condizioni iniziali.

  • Un gran numero di chiavi di sicurezza elettroniche.
  • È necessario accedervi da diverse posizioni geografiche.
  • Stiamo considerando solo soluzioni hardware USB su IP e stiamo cercando di proteggere questa soluzione adottando ulteriori misure organizzative e tecniche (non stiamo ancora considerando la questione delle alternative).
  • Nell'ambito di questo articolo, non descriverò in modo completo i modelli di minaccia che stiamo considerando (puoi vedere molto in Pubblicazione), ma mi soffermerò brevemente su due punti. Escludiamo dal modello l'ingegneria sociale e le azioni illegali degli utenti stessi. Stiamo valutando la possibilità di accesso non autorizzato ai dispositivi USB da qualsiasi rete senza credenziali regolari.

Sicurezza delle informazioni delle soluzioni hardware USB over IP

Per garantire la sicurezza dell'accesso ai dispositivi USB, sono state adottate misure organizzative e tecniche:

1. Misure di sicurezza organizzativa.

L'hub USB over IP gestito è installato in un armadio server di alta qualità dotato di serratura. L'accesso fisico allo stesso è semplificato (sistema di controllo degli accessi ai locali stessi, videosorveglianza, chiavi e diritti di accesso per un numero strettamente limitato di persone).

Tutti i dispositivi USB utilizzati nell'organizzazione sono divisi in 3 gruppi:

  • Critico. Firme digitali finanziarie – utilizzate secondo le raccomandazioni delle banche (non tramite USB over IP)
  • Importante. Le firme digitali elettroniche per piattaforme di trading, servizi, flusso di documenti elettronici, reporting, ecc., una serie di chiavi per software, vengono utilizzate utilizzando un hub USB over IP gestito.
  • Non critico. Una serie di chiavi software, fotocamere, una serie di unità flash e dischi con informazioni non critiche, modem USB vengono utilizzati utilizzando un hub USB su IP gestito.

2. Misure tecniche di sicurezza.

L'accesso di rete a un hub USB su IP gestito viene fornito solo all'interno di una sottorete isolata. Viene fornito l'accesso a una sottorete isolata:

  • da una farm di server terminali,
  • tramite VPN (certificato e password) ad un numero limitato di computer e laptop, tramite VPN vengono assegnati indirizzi permanenti,
  • tramite tunnel VPN che collegano gli uffici regionali.

Sull'hub USB over IP gestito DistKontrolUSB, utilizzando i suoi strumenti standard, sono configurate le seguenti funzioni:

  • Per accedere ai dispositivi USB su un hub USB su IP, viene utilizzata la crittografia (la crittografia SSL è abilitata sull'hub), sebbene ciò possa non essere necessario.
  • È configurata la “Limitazione dell'accesso ai dispositivi USB tramite indirizzo IP”. A seconda dell'indirizzo IP, all'utente viene concesso o meno l'accesso ai dispositivi USB assegnati.
  • È configurato "Limita l'accesso alla porta USB tramite login e password". Di conseguenza, agli utenti vengono assegnati i diritti di accesso ai dispositivi USB.
  • Si è deciso di non utilizzare "Limitare l'accesso a un dispositivo USB tramite login e password", perché Tutte le chiavi USB sono collegate permanentemente all'hub USB over IP e non possono essere spostate da una porta all'altra. Per noi è più logico fornire agli utenti l'accesso a una porta USB su cui è installato un dispositivo USB per un lungo periodo.
  • L'accensione e lo spegnimento fisico delle porte USB viene effettuato:
    • Per software e chiavi di documenti elettronici - utilizzando il programmatore di attività e le attività assegnate dell'hub (un numero di chiavi è stato programmato per accendersi alle 9.00 e spegnersi alle 18.00, un numero dalle 13.00 alle 16.00);
    • Per le chiavi delle piattaforme di trading e una serie di software - da parte degli utenti autorizzati tramite l'interfaccia WEB;
    • Le fotocamere, una serie di unità flash e dischi con informazioni non critiche sono sempre accesi.

Partiamo dal presupposto che questa organizzazione di accesso ai dispositivi USB ne garantisca l'utilizzo sicuro:

  • dagli uffici regionali (condizionatamente NET No. 1...... NET No. N),
  • per un numero limitato di computer e laptop che collegano dispositivi USB tramite la rete globale,
  • per gli utenti pubblicati sui server delle applicazioni terminali.

Nei commenti, vorrei sentire misure pratiche specifiche che aumentano la sicurezza delle informazioni fornendo l'accesso globale ai dispositivi USB.

Fonte: habr.com

Aggiungi un commento