Журнал "Information Security/ Информационная безопасность" #3, 2024

подстраиваясь под разные задачи заказчиков. В состав платформы входит универ- сальный сервер управления GM Work- space Factory, который учитывает уста- новленные тонкие клиенты с подходящей прошивкой и автоматически обнаружи- вает новые. При этом не требуется руч- ная настройка устройств – все индиви- дуальные и групповые настройки отправ- ляются централизованно. Конфигурация прошивки позволяет работать с широким спектром как иностранных VDI-инфра- структур (VMware, Citrix, Microsoft), так и российских (Termidesk, Space, Basis WorkPlace, Горизонт-ВС). Платформа позволяет тонкому клиенту работать и в режиме веб-клиента, для этих целей в прошивке имеется встроен- ный браузер. Практически любой компьютер с архи- тектурой Intel или AMD, можно превра- тить в тонкий клиент, управляемый GM Smart System. Почему тонкие клиенты – это безопасно? Идея работы любых тонких клиентов заключается в том, чтобы обеспечить информационную безопасность за счет централизованной обработки данных. В информационной системе, построен- ной по архитектуре "клиент-сервер" с применением VDI/RDP, обработка защищаемой информации осуществ- ляется в VDI-среде сервера информа- ционной системы. Такой способ разре- шен приказом ФСТЭК России № 17 от 11.02.2013 г., а также приказом ФСТЭК России № 239 от 25.12.2017 г. Центра- лизованное управление настройками устройств пользователей позволяет еще больше сократить возможную поверх- ность атак и вместе с этим при исполь- зовании большого парка устройств поз- воляет свести к минимуму локальное администрирование конечных устройств, что не только повышает издержки на администрирование, но и создает допол- нительные риски. Особенно это акту- ально для территориально распреде- ленных инфраструктур, где оперативный доступ к устройствам пользователей не всегда просто обеспечить. Эксперты GETMOBIT используют нетривиальные инструменты, миними- зирующие поверхность атаки в GM Smart System. Защита предусмотрена на трех уровнях инфраструктуры: аппаратная часть, прошивка и системное ПО. В самих устройствах GM-Box реали- зованы различные методы идентифика- ции и аутентификации пользователей, которые в совокупности с мерами по управлению доступом обеспечивают однозначную идентификацию и аутен- тификацию субъекта доступа, а также разграничение прав доступа субъектов доступа. Кроме того, в случае установки в док-станцию GM-Box G1 сертифици- рованного средства доверенной загрузки (аппаратно-программного модуля дове- ренной загрузки), например ПАК "Соболь", как правило, осуществляется дополнительная идентификация и аутен- тификация пользователя. Доступ в настройки BIOS GM-Box и других тонких клиентов закрыт, настройки не позволяют загружаться с USB-устройств или из сети. Прошивка тонких клиентов работает в режиме read-only, на диск устройства ничего не может быть записано, кроме как через сервер управления. Это исклю- чает возможность пользователю или вредоносному ПО записать в долго- временную память устройства про- извольное, в том числе и вредоносное ПО. Установка на тонкий клиент допол- нительных средств защиты не требу- ется, так как обработка защищаемой информации на тонком клиенте не про- изводится. Возможности удаленного подключения, существующие в обыч- ных операционных системах, например SSH, отключены по умолчанию. Остав- лен минимальный набор открытых сете- вых портов. В состав прошивки включены серти- фицированные средства защиты – Крип- то Про и VipNET, обеспечивающие шиф- рование трафика по требованиям ГОСТ. Система управления поддерживает политики разрешения и запрета работы с разными типами устройств (флеш- накопителями, веб-камерами и т.п.). Плагины, обеспечивающие подключе- ние к средам VDI, или другие компо- ненты прошивки, могут доставляться только с сервера управления, а также собраны в проприетарном формате. Локальная установка каких-либо про- граммных пакетов невозможна. Кроме того, в GM Smart System встроены раз- витые функции логирования и монито- ринга. Сбор этой информации происхо- дит централизованно на сервере управ- ления, затем события могут быть отправлены в SIEM для анализа и выявления инцидентов. С точки зрения архитектуры всей АИС должна быть обеспечена защита среды виртуализации, включая серверные и гостевые ОС, а также прикладные системы. В частности, должны быть обеспечены наличие и запуск на серве- рах информационных систем только раз- решенного ПО. Для передачи информации между серверами информационных систем и тонкими клиентами используются алго- ритмы шифрования. Если применение сертифицированных СКЗИ предусмот- рено законодательными и иными нор- мативными правовыми актами Россий- ской Федерации, то могут быть приме- нены дополнительные программно- аппаратные средства криптографиче- ской защиты, сертифицированные ФСБ России. "Транзитные" технологии GETMOBIT Таким образом, становится возможным построение системы транзитных архи- тектур для доступа конечных пользова- телей к разнородной инфраструктуре сер- висов виртуальных рабочих мест на базе российских и зарубежных платформ VDI через единую витрину инфраструктурных сервисов, эксплуатируемых в организа- ции. В платформе GM Smart System – буквально витрина для доступа конечных пользователей к инфраструктурным сер- висам, определяемая на уровне шаблонов в соответствии с функциональными задачами пользователя в организации. За счет поддержки совместимости с широко распространенными на рос- сийском рынке зарубежными решениями VDI (VMWare Horizon, Citrix XenDesktop, Microsoft VDI, HUAWEI FUSION, Cisco, Avaya, Siemens и др.), а также с техно- логиями российских производителей VDI- платформ (Space, Горизонт-ВС, Базис, 50 • СПЕЦПРОЕКТ Фото: GETMOBIT