Журнал "Системы Безопасности" № 4‘2020

П ри VPN-подключении данные между уда- ленным клиентом и технологической сетью будут идти через открытую сеть, но при этом для их защиты будет использоваться весь доступный инструментарий криптографии. VPN можно организовать как на программном, так и на аппаратном уровне. VPN: программный уровень VPN может быть организован путем установки специального программного обеспечения. Наи- более распространенная программа – OpenVPN, либо можно воспользоваться встроенными средствами операционной систе- мы. Достаточно иметь простейший роутер на входе в сеть (SOHO-устройство). Очевидный недостаток такого подхода в том, что вся вычислительная нагрузка на шифрова- ние, туннелирование и прочее ложится на вашу технологическую сеть. Но есть различные плат- ные сервисы, которые предлагают более совер- шенные алгоритмы шифрования, использова- ние дополнительных вычислительных мощно- стей и поддержку сложных протоколов. Еще один минус – довольно низкая надежность под- ключения при большой нагрузке. В целом решение выглядит достаточно интерес- ным для редких удаленных сеансов ограничен- ной группы пользователей. Идеально для сравнительно небольшой технологической сети. VPN: аппаратный уровень Организация VPN на аппаратном уровне требу- ет, исходя из названия, покупки/ наладки/обслуживания определенного обору- дования. Это дорогостоящий инструмент, отли- чающийся практически неограниченной без- опасностью, эффективностью и масштабируе- мостью. В данном случае нагрузка на создание VPN ложится на специальные межсетевые экра- ны, поддерживающие протоколы IPSEC, кото- рые выпускаются такими компаниями, как Cisco, Palo Alto, Juniper и др. Экраны ставятся на вход в сеть. На клиентской стороне устанавли- вается специальное программное обеспечение, поставляемое совместно с оборудованием, оно может скачиваться при обращении к устройству. Например, для большинства межсетевых экра- нов производства компании Cisco используется программа Cisco AnyConnect. Использование таких аппаратных средств, помимо перечисленных ранее общих преиму- ществ VPN, позволит снизить вычислительную нагрузку на технологическую сеть и даст доступ к современным технологиям и функциям без- опасности, которые производители заклады- вают в свое оборудование, таким как разделе- ние туннелей трафика (корпоративного и лич- ного), шифрование трафика отдельных прило- жений для снижения нагрузки на криптогра- фию, автоматическая проверка клиентского АРМ на соответствие общим требованиям без- опасности и т.д. Многофакторная аутентификация Отдельно можно обратить внимание на аутен- тификацию при VPN-соединении. Понятно, что даже самая простая программа имеет логин и пароль для опознавания подключающегося клиента. Другой вопрос, считает ли клиент такой способ аутентификации надежным для подключения к важной сети. Более интересное решение – использование многофакторной аутентификации. Самый распространенный и надежный инструмент – подтверждение лич- ности клиента двумя способами: через стан- дартную процедуру "логин/пароль" и закрытый ключ аппаратного устройства, которым может служить USB-токен или мобильный телефон с ПИН-кодом. Также распространена, но менее надежна двухфакторная аутентификация с СМС-кодом. Есть варианты с подтверждением по корпоративной электронной почте, но они представляются наименее интересными и доступными. Во-первых, часто логин и пароль к корпоративной почте являются также логи- ном/паролем к рабочей станции, что при использовании e-mail с открытой сети, скажем, не совсем безопасно. А во-вторых, на некото- рых предприятиях доступ к почте не из корпо- ративной сети просто закрыт. Еще один важный момент: само по себе под- ключение к VPN не даст вам выход к виртуаль- ному рабочему столу, это просто защищенный вход в технологическую сеть. Для удаленного подключения к рабочему столу в этом случае можно воспользоваться тем же RDP (его надеж- ность, соответственно, существенно вырастет) либо использовать комплексное предложение, которое, помимо программы для организации VPN, включает в себя и виртуальный рабочий стол, и дополнительную многофакторную аутентификацию, и динамический контроль доступа, и прокси-сервер, и журналы действий пользователей, и многое другое, что позволяет организовать безопасное удаленное подключе- ние для большого числа пользователей, приме- няющих самое разное оборудование – от моно- блоков на РЕД ОС до мобильных устройств. На рынке сейчас достаточно много подобных пред- ложений, но одним их признанных лидеров в поставке таких комплексных коробочных решений является компания Citrix. Создание облачного сервера сети Пожалуй, самым высокотехнологичным и ради- кальным инструментом организации доступа к технологической сети является создание облач- ного сервера сети. Все подключения к нему будут априори носить удаленный характер. Не потребуется никакого дополнительного про- граммного обеспечения и серьезной вычисли- тельной мощности на клиентской стороне. Существующие сервисы просто ломятся от запа- тентованных технологий аутентификации, шиф- рования, защищенного подключения, контроля трафика, регистрации действий пользователей и прочего. К серверу можно будет безопасно подключиться из любой точки мира, база дан- ных и конфигурация станут постоянно резерви- роваться, а на страже контура будут самые современные технологии информационной безопасности. Крупнейшие в мире производители промыш- ленного технологического оборудования (Sie- mens, General Electric, SAP и др.) активно разви- вают направление SaaS, а мы пока остановимся на очевидных минусах. Во-первых, на сегодняшний день это не просто дорого, а очень дорого. Во-вторых, технологическую сеть на базе облач- ного сервиса надо еще создать, что подразуме- вает затраты на соответствующую сетевую инфраструктуру на стороне оборудования и очень дорогую наладку. Выходом в опреде- ленной мере является использование специали- август – сентябрь 2020 www.secuteck.ru УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 78 Ярослав Мироненко Заместитель генерального директора АО "РЭС Групп" Предоставление безопасного удаленного доступа к автоматизированным технологическим системам Часть 2 В первой части статьи (журнал "Системы безопасности" №3/2020) мы остановились на том, что для организации подключения к виртуальному рабочему столу и соблю- дения законодательных требований по защите доступа к определенным технологи- ческим сетям необходимо создать VPN-подключение. VPN (от англ. Virtual Private Network – виртуальная частная сеть) – это название технологий, позволяющих вклю- чать в закрытий контур сети элемент, который инфраструктурно связан с ней через другие сети, например Интернет

RkJQdWJsaXNoZXIy Mzk4NzYw