Récemment, j'ai partagé mon
expérience dans la recherche d'une solution pour organiser l'accès centralisé aux clés de sécurité électroniques dans notre organisation. Dans les commentaires, une sérieuse question a été soulevée au sujet de la sécurité de l'information des solutions matérielles USB sur IP, ce qui nous préoccupe beaucoup.
Donc, d'abord, nous décidons toujours des conditions initiales.
- Un grand nombre de clés de sécurité électroniques.
- Leur accès est nécessaire à partir de divers emplacements géographiques.
- Nous considérons uniquement les solutions matérielles USB sur IP et essayons de sécuriser cette solution en prenant des mesures organisationnelles et techniques supplémentaires (nous n'envisageons pas encore la question des alternatives).
- Dans le cadre de l'article, je ne décrirai pas complètement les modèles de menace que nous envisageons (on en trouve beaucoup dans la publication ), mais je m'attarderai sur deux points. Nous excluons du modèle l'ingénierie sociale et les actions illégales des utilisateurs eux-mêmes. Nous envisageons la possibilité d'un accès non autorisé aux périphériques USB à partir de l'un des réseaux sans avoir d'informations d'identification régulières.
Pour garantir la sécurité de l'accès aux périphériques USB, des mesures organisationnelles et techniques ont été prises:
1. Mesures de sécurité organisationnelles.
Un concentrateur contrôlé par USB sur IP est installé dans une armoire de serveur qui se verrouille avec des clés de haute qualité. L'accès physique à celui-ci est rationalisé (ACS dans la salle elle-même, vidéosurveillance, clés et droits d'accès pour un cercle strictement limité de personnes).
Tous les périphériques USB utilisés dans l'organisation sont conditionnellement divisés en 3 groupes:
- Critique. EDS financier - utilisé conformément aux recommandations des banques (pas via USB sur IP)
- Les plus importants. EDS pour les salles de marché, les services, l'EDI, les rapports, etc., un certain nombre de clés pour les logiciels - sont utilisées à l'aide d'un concentrateur USB sur IP contrôlé.
- Pas critique. Un certain nombre de clés pour le logiciel, un appareil photo, un certain nombre de lecteurs flash et de disques avec des informations non critiques, les modems USB sont utilisés à l'aide d'un concentrateur contrôlé par USB sur IP.
2. Mesures de sécurité techniques.
L'accès réseau à un concentrateur USB sur IP géré n'est fourni que dans un sous-réseau isolé. L'accès à un sous-réseau isolé est fourni:
- à partir de la batterie de serveurs Terminal Server,
- VPN (certificat et mot de passe) à un nombre limité d'ordinateurs et d'ordinateurs portables; les VPN leur donnent des adresses permanentes,
- Tunnels VPN reliant les bureaux régionaux.
Les fonctions suivantes sont configurées sur le concentrateur USB sur IP DistKontrolUSB le plus géré à l'aide de ses outils standard:
- Le chiffrement est utilisé pour accéder aux périphériques USB sur un concentrateur USB sur IP (le chiffrement SSL est activé sur le concentrateur), bien que cela puisse déjà être superflu.
- Configuré "restreindre l'accès aux périphériques USB par adresse IP". Selon l'adresse IP, l'utilisateur a accès ou non aux périphériques USB attribués.
- Configuré "Restreindre l'accès au port USB par identifiant et mot de passe". En conséquence, les utilisateurs se voient attribuer des droits d'accès aux périphériques USB.
- "Restreindre l'accès à un périphérique USB par identifiant et mot de passe" a décidé de ne pas l'utiliser, car toutes les clés USB sont connectées en permanence au concentrateur USB sur IP et ne sont pas réorganisées d'un port à l'autre. Pour nous, il est plus logique de fournir aux utilisateurs un accès à un port USB avec un périphérique USB installé pendant longtemps.
- L'activation et la désactivation physiques des ports USB sont effectuées:
- Pour les clés du logiciel et de l'EDI - avec l'aide du planificateur de tâches et des tâches assignées du concentrateur (un certain nombre de touches ont été programmées pour être activées à 9h00 et désactivées à 18h00, une ligne de 13h00 à 16h00);
- Pour les clés des salles de marché et un certain nombre de logiciels - par des utilisateurs autorisés via l'interface WEB;
- Les appareils photo, un certain nombre de lecteurs flash et de disques contenant des informations non critiques sont toujours inclus.
Nous supposons qu'une telle organisation de l'accès aux périphériques USB garantit leur utilisation en toute sécurité:
- des bureaux régionaux (conditionnellement NET n ° 1 ....... NET n °),
- pour un nombre limité d'ordinateurs et d'ordinateurs portables connectant des périphériques USB via le réseau mondial,
- pour les utilisateurs publiés sur des serveurs d'applications terminaux.
Dans les commentaires, j'aimerais entendre des mesures pratiques spécifiques qui augmentent la sécurité de l'information en fournissant un accès global aux périphériques USB.