Recientemente compartí mi
experiencia en la búsqueda de una solución para organizar el acceso centralizado a las claves de seguridad electrónicas en nuestra organización. En los comentarios, se planteó una seria pregunta sobre la seguridad de la información de las soluciones de hardware USB sobre IP, lo que nos preocupa mucho.
Entonces, primero, aún decidimos las condiciones iniciales.
- Una gran cantidad de llaves de seguridad electrónicas.
- El acceso a ellos es necesario desde varias ubicaciones geográficas.
- Consideramos solo soluciones de hardware USB sobre IP e intentamos asegurar esta solución tomando medidas organizativas y técnicas adicionales (todavía no estamos considerando el tema de las alternativas).
- En el marco del artículo, no describiré completamente los modelos de amenazas que estamos considerando (se puede encontrar mucho en la publicación ), pero me detendré en dos puntos. Excluimos del modelo la ingeniería social y las acciones ilegales de los propios usuarios. Estamos considerando la posibilidad de acceso no autorizado a dispositivos USB desde cualquiera de las redes sin tener credenciales regulares.
Para garantizar la seguridad del acceso a los dispositivos USB, se han tomado medidas organizativas y técnicas:
1. Medidas de seguridad organizacional.
Se instala un concentrador controlado por USB sobre IP en un gabinete de servidor que se bloquea con llaves de alta calidad. El acceso físico a este se simplifica (ACS en la sala en sí, video vigilancia, claves y derechos de acceso para un círculo estrictamente limitado de personas).
Todos los dispositivos USB utilizados en la organización se dividen condicionalmente en 3 grupos:
- Crítico EDS financiero: se utiliza de acuerdo con las recomendaciones de los bancos (no a través de USB sobre IP)
- Los importantes EDS para pisos comerciales, servicios, EDI, informes, etc., una serie de claves para el software: se utilizan utilizando un concentrador USB sobre IP controlado.
- No critico Una serie de teclas para software, una cámara, varias unidades flash y discos con información no crítica, los módems USB se utilizan utilizando un concentrador controlado por USB sobre IP.
2. Medidas técnicas de seguridad.
El acceso de red a un concentrador USB sobre IP administrado se proporciona solo dentro de una subred aislada. Se proporciona acceso a una subred aislada:
- de la granja de servidores de terminal,
- VPN (certificado y contraseña) a un número limitado de computadoras y computadoras portátiles; las VPN les dan direcciones permanentes,
- Túneles VPN que conectan oficinas regionales.
Las siguientes funciones se configuran en el concentrador USB sobre IP más administrado por DistKontrolUSB utilizando sus herramientas estándar:
- El cifrado se usa para acceder a dispositivos USB en un concentrador USB sobre IP (el cifrado SSL está habilitado en el concentrador), aunque esto ya puede ser superfluo.
- Configurado "restringir el acceso a dispositivos USB por dirección IP". Dependiendo de la dirección IP, al usuario se le otorga o no acceso a los dispositivos USB asignados.
- Configurado "Restringir el acceso al puerto USB mediante inicio de sesión y contraseña". En consecuencia, los usuarios tienen derechos asignados para acceder a dispositivos USB.
- "Restringir el acceso a un dispositivo USB mediante inicio de sesión y contraseña" decidió no usar, porque Todas las llaves USB están conectadas permanentemente al concentrador USB sobre IP y no se reorganizan de puerto a puerto. Para nosotros es más lógico proporcionar a los usuarios acceso a un puerto USB con un dispositivo USB instalado durante mucho tiempo.
- El encendido y apagado físico de los puertos USB se realiza:
- Para las claves de software y EDI, con la ayuda del programador de tareas y las tareas asignadas del concentrador (se programaron varias teclas para que se activaran a las 9.00 y se desactivaran a las 18.00, una fila de 13.00 a 16.00);
- Para las claves de los pisos comerciales y una serie de software, por usuarios autorizados a través de la interfaz WEB;
- Siempre se incluyen cámaras, varias unidades flash y discos con información no crítica.
Asumimos que dicha organización de acceso a dispositivos USB garantiza su uso seguro:
- de las oficinas regionales (condicionalmente NET No. 1 ....... NET No. N),
- para un número limitado de computadoras y computadoras portátiles que conectan dispositivos USB a través de la red global,
- para usuarios publicados en servidores de aplicaciones de terminal.
En los comentarios, me gustaría escuchar medidas prácticas específicas que aumenten la seguridad de la información al proporcionar acceso global a dispositivos USB.