Отже, спочатку все ж таки визначимося з вихідними умовами.
Багато ключів електронного захисту.
Доступ до них необхідний із різних географічних місць.
Розглядаємо тільки апаратні рішення USB over IP та намагаємося убезпечити це рішення вживанням додаткових організаційних та технічних заходів (питання альтернатив поки не розглядаємо).
В рамках статті не буду повністю розписувати моделі, що розглядаються нами, загрози (багато можна подивитися в публікації), але тезово зупинюся на двох моментах. Виключаємо з моделі соціальну інженерію та протиправні дії самих користувачів. Розглядаємо можливості несанкціонованого доступу до USB пристроїв з будь-якої мережі не маючи штатних облікових даних.
Для забезпечення безпеки доступу до USB пристроїв вжито організаційних та технічних заходів:
1. Організаційні заходи безпеки.
Керований USB over IP концентратор встановлений в серверну шафу, що якісно закривається на ключ. Фізичний доступ до нього впорядкований (СКД у саме приміщення, відеоспостереження, ключі та права доступу у строго обмеженого кола осіб).
Всі пристрої USB, що використовуються в організації, умовно розділені на 3 групи:
Критичні. Фінансові ЕЦП – використовуються відповідно до рекомендацій банків (не через USB over IP)
Важливі. ЕЦП для торгових майданчиків, послуг, ЕДО, звітності тощо, ряд ключів для ПЗ - використовуються із застосуванням керованого USB over IP концентратора.
Чи не критичні. Ряд ключів для ПЗ, камери, ряд флешок та дисків з не критичною інформацією, USB модеми – використовуються із застосуванням керованого USB over IP концентратора.
2. Технічні заходи безпеки.
Мережевий доступ до керованого USB over IP концентратору надається лише всередині ізольованої підмережі. Доступ до ізольованої підмережі надається:
з ферми термінальних серверів,
за VPN (сертифікат та пароль) обмеженою кількістю комп'ютерів і ноутбуків, за VPN їм видаються постійні адреси,
за VPN тунелями, що з'єднують регіональні офіси.
На самому керованому USB over IP концентраторі DistKontrolUSB з використанням його штатних засобів налаштовані функції:
Для доступу до USB пристроїв USB over IP концентратора використовується шифрування (на концентраторі увімкнено шифрування SSL), хоча можливо це вже й зайве.
Налаштовано «обмеження доступу до USB-пристроїв за IP адресою». Залежно від IP адреси користувачеві надається доступ до призначених USB пристроїв.
Налаштовано «Обмеження доступу до USB порту за логіном та паролем». Відповідно, користувачам призначені права на доступ до USB пристроїв.
«Обмеження доступу до USB пристрою за логіном та паролем» вирішили не використовувати, т.к. всі USB ключі підключені до USB over IP концентратору стаціонарно і з порту до порту не переставляються. Для нас логічніше надавати доступ користувачам до USB порту зі встановленим на нього на тривалий час пристроєм USB.
Фізичне включення та вимкнення USB портів здійснюється:
Для ключів від софту та ЕДО – за допомогою планувальника завдань та призначених завдань концентратора (ряд ключів запрограмували на включення о 9.00 та відключення о 18.00, ряд з 13.00 до 16.00);
Для ключів від торгових майданчиків та ряду софту – користувачі, що мають дозвіл, через WEB інтерфейс;
Камери, ряд флешок та дисків із не критичною інформацією – включені завжди.
Припускаємо, що така організація доступу до USB-пристроїв забезпечує їх безпечне використання:
з регіональних офісів (умовно NET №1 …… NET № N),
для обмеженого ряду комп'ютерів і ноутбуків, що підключають USB пристрої через глобальну мережу,
для користувачів, які опубліковані на термінальних серверах додатків.
У коментарях хотілося б почути конкретні практичні заходи, які б підвищували інформаційну безпеку надання глобального доступу до USB пристроїв.