Então, primeiro, vamos decidir sobre as condições iniciais.
Um grande número de chaves de segurança eletrônicas.
Eles precisam ser acessados de diferentes localizações geográficas.
Estamos considerando apenas soluções de hardware USB sobre IP e tentando garantir esta solução tomando medidas organizacionais e técnicas adicionais (ainda não estamos considerando a questão de alternativas).
No âmbito deste artigo, não descreverei completamente os modelos de ameaças que estamos considerando (você pode ver muitos deles em publicações), mas focarei brevemente em dois pontos. Excluímos do modelo a engenharia social e as ações ilegais dos próprios usuários. Estamos considerando a possibilidade de acesso não autorizado a dispositivos USB de qualquer rede sem credenciais regulares.
Para garantir a segurança do acesso aos dispositivos USB, foram tomadas medidas organizacionais e técnicas:
1. Medidas de segurança organizacional.
O hub USB sobre IP gerenciado é instalado em um gabinete de servidor com trava de alta qualidade. O acesso físico ao mesmo é simplificado (sistema de controlo de acesso às próprias instalações, videovigilância, chaves e direitos de acesso para um número estritamente limitado de pessoas).
Todos os dispositivos USB utilizados na organização são divididos em 3 grupos:
Crítico. Assinaturas digitais financeiras – utilizadas de acordo com as recomendações dos bancos (não via USB sobre IP)
Importante. Assinaturas digitais eletrônicas para plataformas de negociação, serviços, fluxo de documentos eletrônicos, relatórios, etc., uma série de chaves para software - são usadas usando um hub USB sobre IP gerenciado.
Não é crítico. Várias chaves de software, câmeras, várias unidades flash e discos com informações não críticas, modems USB - são usados usando um hub USB sobre IP gerenciado.
2. Medidas técnicas de segurança.
O acesso de rede a um hub USB sobre IP gerenciado é fornecido somente dentro de uma sub-rede isolada. O acesso a uma sub-rede isolada é fornecido:
de um farm de servidores de terminal,
via VPN (certificado e senha) para um número limitado de computadores e laptops, via VPN eles recebem endereços permanentes,
através de túneis VPN conectando escritórios regionais.
No hub USB sobre IP gerenciado DistKontrolUSB, usando suas ferramentas padrão, as seguintes funções são configuradas:
Para acessar dispositivos USB em um hub USB sobre IP, a criptografia é usada (a criptografia SSL está habilitada no hub), embora isso possa ser desnecessário.
“Restringindo acesso a dispositivos USB por endereço IP” está configurado. Dependendo do endereço IP, o usuário recebe ou não acesso aos dispositivos USB atribuídos.
“Restringir acesso à porta USB por login e senha” está configurado. Conseqüentemente, os usuários recebem direitos de acesso aos dispositivos USB.
“Restringir acesso a um dispositivo USB por login e senha” foi decidido não ser utilizado, pois Todas as chaves USB estão conectadas ao hub USB sobre IP permanentemente e não podem ser movidas de porta para porta. Faz mais sentido fornecer aos usuários acesso a uma porta USB com um dispositivo USB instalado por um longo período.
A ativação e desativação física das portas USB é realizada:
Para software e chaves EDM - utilizando o agendador de tarefas e tarefas atribuídas do hub (várias teclas foram programadas para ligar às 9.00h18.00 e desligar às 13.00h16.00, um número das XNUMXhXNUMX às XNUMXhXNUMX);
Para chaves de plataformas de negociação e diversos softwares - por usuários autorizados por meio da interface WEB;
Câmeras, diversos pen drives e discos com informações não críticas estão sempre ligados.
Assumimos que esta organização de acesso aos dispositivos USB garante a sua utilização segura:
de escritórios regionais (condicionalmente NET No. 1...... NET No. N),
para um número limitado de computadores e laptops conectando dispositivos USB através da rede global,
para usuários publicados em servidores de aplicativos de terminal.
Nos comentários, gostaria de ouvir medidas práticas específicas que aumentem a segurança da informação no fornecimento de acesso global a dispositivos USB.