Чтобы защитить данные (от) удаленщиков, командировочных и подрядчиков, подключающихся к вашим ресурсам за пределами локальной сети.
Привет! Начинаем серию постов, в которых дадим емкие практические советы, как решать те или иные ИБ-задачи с помощью решений «СёрчИнформ». В первом выпуске – о том, как контролировать внешних юзеров во внутренней сети. То есть: удаленщиков, командировочных сотрудников, подрядчиков с доступом к корпоративным ресурсам. Пользователи, работающие с информацией «гибридно» из-за пределов офиса, есть в любой организации, вопрос только в том, как организовать за ними контроль.
Задачка решается по-разному, в зависимости от того, как реализован удаленный доступ к корпоративной инфраструктуре.
Вариант 1. Через VPN
Дано: удаленные сотрудники / подрядчики работают на корпоративных ноутбуках, на ПК установлены агенты DLP, доступ к рабочим сервисам организован через VPN.
Задача: передать данные о пользователе с агента вне локальной сети на DLP-сервер в корпоративной сети.
Как это сделать?
1. Подключить компьютер с агентом к корпоративной сети компании через VPN.
2. Проверить связь с сервером EndpointController (это главный «управленческий» компонент КИБ). Сделать это можно следующим образом:
Достаточно проверить доступность IP и порта любым диагностическим ПО, например, Telnet`ом, который входит в состав любой ОС. Пример команды выглядит так: Telnet 10.11.12.13 8089 (т.е. IP-адрес + номер порта).
Для определения используемого порта нужно зайти в EndpointController и перейти в настройки программы-> Настройки агентов-> Альтернативные адреса… – и в первой строке (в скобках «основной») – будет номер порта (см. скриншот).
Если VPN соединение установлено, то агент находится в локальной сети и все функции должны работать при условии доступности ПК по имени. Изменение настроек агента и перехвата по протоколам будет работать вне зависимости от доступности ПК, т.к. агент самостоятельно берет конфигурационный файл с сервера.
Вариант 2. Через проброс внешнего подключения во внутреннюю сеть
Дано: сотрудники / подрядчики за корпоративными ноутбуками с установленными агентами DLP, доступ к рабочим ресурсам организован через внешний статический IP-адрес и прокси-сервер в корпоративной сети. То есть подключение к серверу DLP устанавливается сразу, как только пользователь подключится к интернету.
Задача: пробросить статический IP-адрес при помощи прокси-сервера в локальной сети на компьютеры с установленным агентом КИБ.
Как это сделать?
1. Настроить на прокси-сервере (маршрутизаторе, файерволе и т.д.) проброс статического IP-адреса (любой незанятый порт – например 8089) на IP-адрес и порт сервера, на котором установлен EndpointController. Для определения нужного порта повторить действия из варианта 1.
Далее, в консоли EndpointController (Настройки программы-> Настройки агентов-> Альтернативные адреса…) необходимо прописать внешний IP-адрес и порт, с которого осуществляется проброс (см. скриншот).
При этом агент на компьютер должен быть установлен заранее, пока пользователь находится в корпоративной сети, либо придется вручную сформировать инсталляционный пакет для ручной установки после проброса портов.
2. Проверить и настроить параметры на стороне EndpointController. После проброса трафика необходимо убедиться, что он правильно работает. Для этого достаточно запустить диагностику с тем же Telnet (или любым другим аналогом), как мы описали ранее.
Вариант 3. Через «виртуалки»
Дано: сотрудники и подрядчики работают удаленно со своих ПК (на которых нет агента DLP), к корпоративным ресурсам подключаются через терминальные серверы / VDI.
Задача: подключить внешнего пользователя к терминальному серверу или VDI в корпоративной сети с установленным агентом.
Как это сделать?
1. Развернуть терминальный сервер или VDI-машины, установить на них агент КИБ.
2. Раздать сотрудникам инструкции по подключению.
Да, настолько просто. При таком раскладе «внешние» пользователи работают полностью «на территории» компании. Все их действия на виртуалках будут контролироваться, как если бы они работали в офисе. Например, если по RDP сотрудники подключаются к своим же ПК, оставленным в офисе, разницы не будет вообще никакой.
Что в итоге?
Контроль внешних пользователей – это тривиальная, но непростая задача и нужно соблюсти баланс между безопасностью и работоспособностью. А также помнить про риск утечки данных и корпоративного мошенничества. Однако с «СёрчИнформ КИБ» можно легко реализовать один из вариантов контроля удаленного пользователя, который лучше встроится в вашу инфраструктуру. Не забудьте при этом позаботиться о безопасности удаленного подключения! А настроить защиту c DLP затем можно максимально гибко – она не помешает бизнес-процессам и будет доступна в полном объеме, несмотря на «усложненный» формат.
Следите за обновлениями в блоге, чтобы не пропустить новые ИБ-инструкции с продуктами «СёрчИнформ». В следующей серии расскажем, как сэкономить место на сервере при «умной» верификации пользователей по лицам.