Хищение данных стало широко распространенным явлением, особенно в тех организациях, которые предоставляют конечным пользователям неограниченные права. Более того, утечки информации превратились в растущую проблему для предприятий. И хотя порой такие события случаются в результате преднамеренных действий, чаще всего они бывают следствием допущенных пользователями ошибок.
Общим для всех этих утечек является использование конечной точки — настольного ПК, ноутбука, тонкого клиента, смартфона. Как правило, их очень просто предотвратить. Все, что для этого необходимо, — хоть какой-то контроль и некоторая доля здравого смысла.
Решение компании Viewfinity версии 3.0 для управления полномочиями позволяет администраторам контролировать полномочия пользователей на корпоративных ПК, помогая залатать одну из главных дыр в системе безопасности современных корпоративных сетей: рискованные операции на персональных компьютерах в защищенной брандмауэром зоне. Пакет интегрированных инструментов управления упрощает процессы, связанные с управлением полномочиями, и обеспечивает более эффективную защиту ПК от несанкционированного использования. Кроме того, он даёт возможность детального контроля за тем, кто и что может делать на серверах и конечных точках по всему предприятию.
Прежде, когда администраторы должны были блокировать ПК и серверы, им приходилось использовать сложные, плохо поддающиеся аудиту схемы, в которых применялись политики, управляемые службами каталогов, такими как Microsoft Active Directory. Подобный подход предполагал создание детализированных политик с помощью инструментов, входящих в состав операционной системы. В лучшем случае написание таких политик является весьма трудоемким делом, в худшем же их не удается применить.
Я проверил возможности Viewfinity, чтобы посмотреть, действительно ли этот пакет представляет ценность для корпоративного менеджера ИТ-безопасности. И надо сказать, что разочарование меня не постигло. Viewfinity предоставляет всё необходимое для успешного управления полномочиями в конечных точках сети. Устойчивая к ошибкам клиентская программа завершает картину и обеспечивает консоль управления актуальной информацией о состоянии аппаратной и программной частей и о связанных с доступом событиях.
Для администраторов, использующих Active Directory, более тесная интеграция со службой каталогов является полезным усовершенствованием. С другой стороны, такая интеграция может снизить ценность Viewfinity в тех сетевых средах, где используются Linux, Unix и Solaris.
Тестирование Viewfinity
Во время испытаний я использовал сеть на базе Windows Server 2008 R2, состоявшую из трех серверов с подключенными к ним восемью рабочими станциями под управлением Windows (две — с Windows XP Service Pack 3, три — с Windows Vista Business и три — с 64-разрядной Windows 7 Ultimate) и с управляемым коммутатором Netgear ProSafe FSM7226RS. Выход в Интернет обеспечивал широкополосный VPN-маршрутизатор Cisco Systems (Linksys).
Для распространения политики и контроля Viewfinity использует модель клиент — сервер. Все операции и центр управления размещаются на главном сервере, а на управляемых конечных точках устанавливаются небольшие клиентские приложения для обмена информацией с сервером и обновления политик контроля за полномочиями.
На практике администраторы будут формулировать политики на управляющей консоли Viewfinity, применяя “помощники”, а затем закреплять эти политики за пользователями, группами или подразделениями. Затем политики распределяются в соответствии с указаниями администратора и устанавливаются на каждом клиентском устройстве, где программа-агент следит за ее соблюдением и осуществляет аудит.
Данный процесс вызывает некоторые вопросы. Насколько просто его осуществить? Эффективен ли он с точки зрения защиты конечных точек?
У Viewfinity имеется простая в использовании консоль управления на основе веб-технологии, оформленная в виде приборной панели и позволяющая легко понять, что следует делать. Например, если мне захотелось контролировать полномочия администратора группы ПК или пользователей, я могу выбрать в меню “Политики” пункт “Создать политику” и получить варианты “Расширить полномочия”, “Политика для приложения” и “Политика для компьютера”. Первый вариант позволяет задать, на какой основе следует создавать правила для набора полномочий: “Запускать приложение с административными полномочиями”, “Разрешить установку управляющего элемента ActiveX” и т. д.
Правила могут быть весьма детализированными, позволяя администраторам тонко настроить политики доступа и контроля. Можно также создавать политики применительно к отдельным приложениям или компьютерам.
Представьте себе ситуацию, когда приложение должно получить доступ к некоторым низкоуровневым функциям операционной системы. Скажем, приложение использует управляющий элемент ActiveX. В нормальном случае вы захотите заблокировать доступ к такому элементу, чтобы предотвратить возможность вторжения. А с помощью Viewfinity вы можете временно предоставить приложению соответствующие полномочия, открыть ему доступ к обычно заблокированному элементу ActiveX и обеспечить таким образом нормальную его работу, сохранив при этом высокий уровень защиты.
Детальное управление хорошо соответствует предпочтительной концепции защиты, когда блокируется все, а доступ предоставляется только по мере необходимости. Viewfinity предоставляет широкий выбор политик, которые можно сочетать, группировать и применять в различных вариантах.
Такой уровень гибкости позволяет администраторам создавать сложные политики, предоставляющие владельцу ПК различные административные полномочия. Подобная гибкость очень пригодится тем, кому необходимо соблюдать требования нормативных актов, включая HIPAA (Health Insurance Portability and Accountability Act), FDCC (Federal Desktop Core Configuration), PCI или закон Сарбейнса — Оксли, которые требуют управления доступом и контроля конфиденциальной информации.
В идеальном случае администратор может полностью заблокировать ПК или сервер и создать политики, позволяющие пользователям решать только те задачи, которые имеют непосредственное отношение к их служебным обязанностям, устранив тем самым возможность вторжения в сеть. Но большинство администраторов предпочитают оставлять всё открытым и блокировать доступ только к важнейшим функциям и приложениям.
Гораздо проще использовать такой подход и избежать всех сложностей, связанных с применением входящих в состав операционной системы утилит для создания политики. Однако это равносильно приглашению ко взлому системы. Основная ценность Viewfinity как раз и заключается в том, что данный продукт предлагает эффективные методы блокирования ПК и серверов, не превращая эти операции в кошмар для администраторов.
Но управление полномочиями не сводится к созданию политики. Есть еще обеспечение соблюдения политик, аудит и управление активами. В Viewfinity имеются все необходимые инструменты.
Для принудительного соблюдения политик Viewfinity использует установленное на клиентской системе приложение. Подобный способ вызывает некоторые вопросы. Например, можно ли это приложение отключить или обмануть? Компания Viewfinity спроектировала его таким образом, что оно работает постоянно и не позволяет никому, кроме обладателей полных административных полномочий, вносить какие-либо изменения в клиентскую систему.
Администраторы имеют возможность составлять подробные отчеты об аудите с указанием, кто какими полномочиями пользуется. Аудит идет еще дальше и фиксирует любые действия, попытки получения доступа и зависимости, существующие между приложениями и процессами.
Полноценный модуль инвентаризации автоматически обнаруживает подключенные системы и ведет учет операционных систем, приложений, настроек и большинства других компонентов, связанных с ПК или сервером. Эта информация используется во многих таблицах определений политики, так что администраторы всегда работают с программной средой, которая в данный момент существует на каждом компьютере.
Собранные в процессе инвентаризации сведения применяются также при составлении отчетов, задании взаимосвязей и отслеживании изменений, что позволяет встраивать Viewfinity в решения по управлению изменениями на подключенных к сети управляемых ПК и серверах.