ProHoster > Blog > administração > Segurança da informação de soluções de hardware USB sobre IP

Segurança da informação de soluções de hardware USB sobre IP

Compartilhado recentemente experiência na busca de uma solução para organizar o acesso centralizado a chaves eletrônicas de segurança em nossa organização. Os comentários levantaram uma séria questão de segurança da informação das soluções de hardware USB sobre IP, o que nos preocupa muito.

Então, primeiro, vamos decidir sobre as condições iniciais.

  • Um grande número de chaves de segurança eletrônicas.
  • Eles precisam ser acessados ​​de diferentes localizações geográficas.
  • Estamos considerando apenas soluções de hardware USB sobre IP e tentando garantir esta solução tomando medidas organizacionais e técnicas adicionais (ainda não estamos considerando a questão de alternativas).
  • No âmbito deste artigo, não descreverei completamente os modelos de ameaças que estamos considerando (você pode ver muitos deles em publicações), mas focarei brevemente em dois pontos. Excluímos do modelo a engenharia social e as ações ilegais dos próprios usuários. Estamos considerando a possibilidade de acesso não autorizado a dispositivos USB de qualquer rede sem credenciais regulares.

Segurança da informação de soluções de hardware USB sobre IP

Para garantir a segurança do acesso aos dispositivos USB, foram tomadas medidas organizacionais e técnicas:

1. Medidas de segurança organizacional.

O hub USB sobre IP gerenciado é instalado em um gabinete de servidor com trava de alta qualidade. O acesso físico ao mesmo é simplificado (sistema de controlo de acesso às próprias instalações, videovigilância, chaves e direitos de acesso para um número estritamente limitado de pessoas).

Todos os dispositivos USB utilizados na organização são divididos em 3 grupos:

  • Crítico. Assinaturas digitais financeiras – utilizadas de acordo com as recomendações dos bancos (não via USB sobre IP)
  • Importante. Assinaturas digitais eletrônicas para plataformas de negociação, serviços, fluxo de documentos eletrônicos, relatórios, etc., uma série de chaves para software - são usadas usando um hub USB sobre IP gerenciado.
  • Não é crítico. Várias chaves de software, câmeras, várias unidades flash e discos com informações não críticas, modems USB - são usados ​​​​usando um hub USB sobre IP gerenciado.

2. Medidas técnicas de segurança.

O acesso de rede a um hub USB sobre IP gerenciado é fornecido somente dentro de uma sub-rede isolada. O acesso a uma sub-rede isolada é fornecido:

  • de um farm de servidores de terminal,
  • via VPN (certificado e senha) para um número limitado de computadores e laptops, via VPN eles recebem endereços permanentes,
  • através de túneis VPN conectando escritórios regionais.

No hub USB sobre IP gerenciado DistKontrolUSB, usando suas ferramentas padrão, as seguintes funções são configuradas:

  • Para acessar dispositivos USB em um hub USB sobre IP, a criptografia é usada (a criptografia SSL está habilitada no hub), embora isso possa ser desnecessário.
  • “Restringindo acesso a dispositivos USB por endereço IP” está configurado. Dependendo do endereço IP, o usuário recebe ou não acesso aos dispositivos USB atribuídos.
  • “Restringir acesso à porta USB por login e senha” está configurado. Conseqüentemente, os usuários recebem direitos de acesso aos dispositivos USB.
  • “Restringir acesso a um dispositivo USB por login e senha” foi decidido não ser utilizado, pois Todas as chaves USB estão conectadas ao hub USB sobre IP permanentemente e não podem ser movidas de porta para porta. Faz mais sentido fornecer aos usuários acesso a uma porta USB com um dispositivo USB instalado por um longo período.
  • A ativação e desativação física das portas USB é realizada:
    • Para software e chaves EDM - utilizando o agendador de tarefas e tarefas atribuídas do hub (várias teclas foram programadas para ligar às 9.00h18.00 e desligar às 13.00h16.00, um número das XNUMXhXNUMX às XNUMXhXNUMX);
    • Para chaves de plataformas de negociação e diversos softwares - por usuários autorizados por meio da interface WEB;
    • Câmeras, diversos pen drives e discos com informações não críticas estão sempre ligados.

Assumimos que esta organização de acesso aos dispositivos USB garante a sua utilização segura:

  • de escritórios regionais (condicionalmente NET No. 1...... NET No. N),
  • para um número limitado de computadores e laptops conectando dispositivos USB através da rede global,
  • para usuários publicados em servidores de aplicativos de terminal.

Nos comentários, gostaria de ouvir medidas práticas específicas que aumentem a segurança da informação no fornecimento de acesso global a dispositivos USB.

Fonte: habr.com

Adicionar um comentário