Кибергигиена на карантине, или Как организовать безопасный удаленный доступ
Говорят, после пандемии COVID-19 мир уже не будет прежним. Многие компании, которые и не рассматривали удаленный формат работы, вынужденно перешли на него на время карантина. А теперь подумывают не возвращаться в офис вовсе.
И если вы такого же мнения, это значит, что перед вами открывается новая задача: кибербезопасность. От кибератак страдают и большие и маленькие компании. LIGA.net уже переводила историю WIRED о вирусе NotPetya, который распространился по всему миру из небольшого офиса на киевском Подоле. Кроме того, что он парализовал тысячи компьютеров, вирус вывел из строя 20% портов крупнейшей судоходной компании Maersk и нанес убытков на $10 млрд.
Хорошая новость в том, что в цифровом мире тоже есть свои правила гигиены, которые не соблюдал Maersk, но которые способны уберечь ваш бизнес от кибератак и потерь. Вместе с ИТ-Интегратор и Cisco мы расскажем, как качественно настроить удаленную работу и защитить ее с помощью продуктов для безопасносного удаленного доступа и простых правил кибергигиены.
Как организовать удаленную работу сотрудников так же полноценно и безопасно, как это было в офисе
Есть несколько сложностей, с которыми могут столкнуться крупные компании, организовывая удаленную работу:
- сотрудников много, они выполняют разные функции и им нужны разные приложения для работы;
- сотрудники используют специализированные приложения, которые должны работать в рамках одной операционной системы, взаимодействовать между собой и с внутренними сервисами организации;
- у сотрудников на домашних устройствах нет элементарного антивируса или установлены сторонние программы, что делает само устройство небезопасным для подключения в рабочую сеть;
- сотрудникам нужна своевременная и качественная ИТ-поддержка, которую гораздо сложнее организовать в удаленном формате.
"Со всеми этими условиями поможет справиться технология VDI – это виртуальные рабочие столы", – говорит директор департамента информационных технологий ИТ-Интегратор Дмитрий Жуковский.
Как устроена эта технология
Для пользователя картинка выглядит, как обычный рабочий стол, который открывается поверх родного рабочего стола на домашнем компьютере пользователя. При этом, виртуальный десктоп наполнен исключительно рабочими приложениями и файлами и никак не пересекается с наполнением домашнего компьютера.
Виртуальный рабочий стол – это виртуальная машина, которая создается автоматически по заранее заданным правилам администратора под каждого пользователя на удаленном серверном оборудовании в ЦОДе, с возможностями централизованного мониторинга и единой точкой резервного копирования.
На первый взгляд, такая организация может выглядеть сложной: какие-то виртуальные рабочие машины, которые нужно создавать для каждого пользователя. "А если этих пользователей – тысяча?", – может возникнуть вопрос.
Отвечаем. VDI позволяет разработать один рабочий базовый образ, по которому уже создаются виртуальные рабочие машины для всех пользователей. При этом, неважно, сколько этих пользователей будет – десять или тысяча. Администратор в итоге управляет только этим базовым образом, а не тысячами рабочих машин, что экономит ресурсы на администрировании без необходимости увеличивать штат ИТ.
При этом, конечно, учитывается потребность компании распределить среди сотрудников нужные им, конкретные приложения. К базовому образу можно добавить так называемый applications layer. "То есть, все типы пользователей, независимо от того, бухгалтера это, менеджеры или инженеры, – изначально подключаются к единому базовому образу, а после этого, при подключении, каждому пользователю добавляются приложения, которые ему нужны", – объясняет Дмитрий Жуковский.
В итоге, бухгалтер получает свой набор приложений, инженер – какой-то свой специализированный софт и т.д. "С набором приложений можно формировать любой профиль сотрудника довольно быстро, имея всего один или несколько базовых образов", – добавляет специалист.
Еще раз важно подчеркнуть, что в таком формате работы все данные надежно защищены. На устройстве пользователя ничего не хранится. Все находится на удаленном серверном оборудовании. А для большей безопасности, при каждом подключении пользователю создается новая виртуальная рабочая машина, но все персональные данные, файлы, приложения и настройки сохраняются.
Как организовать подключение к VDI-инфраструктуре
"Один из стандартных способов: вы можете настроить VPN-подключение во внутрикорпоративную сеть и дальше уже пользователь может подключаться к системе VDI через VPN. Но, помимо этого, у вендоров VDI, как правило, есть решения, которые позволяют подключаться напрямую через интернет", – рассказывает директор департамента информационных технологий ИТ-Интегратор Дмитрий Жуковский.
Он также напоминает, что важно защитить данное подключение и использовать, например, многофакторную авторизацию.
Для этого стоит рассмотреть решение Cisco AnyConnect. Кроме того, что это VPN-клиент, решение обеспечивает повышенную безопасность с помощью разных модулей. AnyConnect осуществляет проверку до установки соединения, проверки реестра, файлов, сертификатов, IP-адресов, антивирусного ПО, версий Windows, номера BIOS.
Есть дополнительная лицензия для устранения выявленных нарушений антивирусов, настроек межсетевого экрана. Увеличенная безопасность и защита от DoS, фильтрация вредоносного кода, блокировка нежелательных сайтов, контента и утечек. А также полный набор опций для аутентификации.
"Мы в ИТ-Интегратор используем Cisco AnyConnect с двухфакторной авторизацией. При подключении к внешнему сервису, пользователь получает вторую часть пароля на свой мобильный телефон и авторизируется. Так мы можем практически гарантировать, что подключатся только наши сотрудники", – говорит Дмитрий Жуковский.
И добавляет, что сейчас, ввиду карантина очень много производителей объявили акционные предложения на свои продукты. Например, Cisco AnyConnect можно внедрить на 3 месяца бесплатно для любого количества пользователей и уже после кризиса решить, оставлять решение или нет.
Как защитить устройство пользователя
Организовывая удаленную работу на личных устройствах сотрудников, неплохо бы соблюсти баланс и не превращать домашний компьютер пользователя в корпоративный. Все-таки, людям важно сохранять личное пространство и не делиться с администраторами информацией, по каким сайтам они ходят вне рабочего времени.
Для этого, в AnyConnect есть функция разделения туннелей: когда трафик шифруется, например, только при подключении к корпоративной сети или облаку. Остальной же трафик не будет защищаться. Это чревато всяческими вирусами, которые пользователь может скачать из интернета.
Чтобы уберечь пользователя от этого, можно установить Cisco Umbrella. Это DNS сервис, который, простыми словами, не даст пользователю зайти на вредоносный сайт, скачать зловредную программу. Таким образом Cisco Umbrella заранее предупреждает атаки, прерывая их еще на этапе небезопасного подключения.
Решение можно использовать в качестве модуля для AnyConnect и тогда пользователи будут защищены, когда не включают VPN. А также, если вы решите вернуться в офис после карантина, Cisco Umbrella останется полезным для мобильных сотрудников. Если у вас небольшая компания и вы не используете VPN, то Umbrella может быть универсальным решением для проверки всего трафика на предмет "благонадежности". К тому же, решение обойдется в подъемные деньги для небольшого бизнеса.
Базовая кибергигиена
А пока вы думаете, стоит ли вкладываться в безопасные решения для удаленной работы (точно стоит), можете разослать своим сотрудникам и ИТ-департаменту инфографику от ИТ-Интегратора с основными правилами кибербезопасности. Их никто не отменял даже при наличии самых крутых программ киберзащиты. Это, как мыть руки в цифровом пространстве.