Контакты
Подписка 2025

Сетевой фейсконтроль, или Роль NAC в эпоху Zero Trust

Яков Гродзенский, 15/06/20

В режиме самоизоляции бизнес активно переводит сотрудников на удаленную работу и получает дополнительные проблемы с информационной безопасностью. Когда большое количество пользователей обращается к корпоративным ресурсам с домашних компьютеров, к привычным уже трудностям с бюджетированием и нехваткой кадров добавляются дополнительные риски.

Автор: Яков Гродзенский, директор департамента информационной безопасности компании “Системный софт”

Проще всего защититься от угроз тем заказчикам, которые заранее начали внедрять концепцию нулевого доверия (Zero Trust). В условиях, когда дистанционная работа стала долговременным трендом, ее значение для сферы ИБ возрастает многократно.

Концепция Zero Trust

Модель безопасности с нулевым доверием была разработана бывшим аналитиком Forrester Джоном Киндервагом в 2010 г. и с тех пор стала одной из основных отраслевых концепций. Преимущество Zero Trust заключается в отсутствии необходимости строить детальную модель угроз, поскольку угроза может исходить откуда угодно: от каналов передачи данных, от активного сетевого оборудования, от внешних сервисов и корпоративных информационных систем, от сотрудников и контрагентов. За 10 лет концепция Zero Trust развилась в целостный подход к кибербезопасности, защищающий компании от известных и еще неизвестных угроз. Для реализации модели используются различные инструменты и технологии, включая межсетевые экраны, системы DLP и MDM, поведенческий анализ и многое другое.

Новые угрозы в режиме самоизоляции

Бытует мнение, будто для организации доступа в корпоративную сеть извне достаточно организовать VPN, а дальше будут работать внедренные ранее решения. На самом деле виртуальная частная сеть – не панацея, а имеющиеся продукты не рассчитаны на большое количество удаленных пользователей. Внутри защищенного периметра эти средства работают, но сотрудники подключаются с личных устройств, для которых корпоративные политики безопасности ничего не значат. Несмотря на то что трафик шифруется с помощью VPN, компьютеры могут быть заражены клавиатурными агентами и другим шпионским ПО, шифровальщиками, вымогателями и прочими опасными зловредами, и VPN здесь не поможет.

Трафик в сетях общего пользования может быть перехвачен с использованием атак типа Man in the Middle (человек посередине), особенно если пользователь подключился к публичному Wi-Fi, а ведь данные для входа в VPN также могут быть скомпрометированы. Иными словами, даже если в компании практикуется модель безопасности с нулевым доверием, для обеспечения дистанционной работы в нынешних условиях потребуются специальные средства контроля.

Решаем проблему малой кровью

Небольшой компании достаточно выдать сотрудникам корпоративные ноутбуки или развернуть сервис терминалов (Remote Desktop Services, или RDS) и перейти на тонкие клиенты. Его нетрудно запустить как внутри защищенного периметра, так и на арендованных площадях или даже на VDS. При этом не придется платить за клиентские терминальные лицензии Windows: корпорация Microsoft позволяет использовать RDS в ознакомительном режиме в течение 120 дней (скорее всего, этого хватит на время действия режима самоизоляции). Обеспечить безопасность в таком варианте намного проще, поскольку личные компьютеры будут работать только с одной машиной и только по протоколу RDP, а доступ к защищенным корпоративным ресурсам придется контролировать только с одного сервера. У клиентов в их виртуальных рабочих столах будет унифицированный софт, то есть проблемы с различными аппаратно- программными конфигурациями также уходят. Для нескольких десятков пользователей такое решение годится, но в крупных компаниях счет пользователей часто идет на тысячи, а потому простейшие решения оказываются довольно сложными и/или затратными.

Внедряем NAC

Использование личных машин сотрудников для удаленного доступа – суровая необходимость для среднего и крупного бизнеса. Иногда в этом случае департамент ИБ пытается прописать некие политики безопасности на бумаге, скажем корпоративные информационные системы нельзя использовать с компьютера без установленного антивируса. Но даже если раздать всем корпоративные лицензии, нет никакой гарантии, что сотрудники выполнят это требование. Без специального решения невозможно проверить соответствие домашних машин корпоративной политике безопасности, для этого стоит внедрить агентское или безагентское решение класса NAC.

Система будет анализировать каждый пытающийся подключиться к сети компьютер или мобильное устройство и вычислять для него определенный рейтинг безопасности. Отслеживаться могут самые разные показатели: версия операционной системы, наличие установленных обновлений, наличие антивирусных программ с актуальными базами или агентов MDM и DLP, настройки межсетевого экрана и многое другое. Для клиентского устройства рассчитываются индикаторы риска, а затем к нему применяются политики безопасности. Можно, например, поместить его в отдельный VLAN с ограниченными правами доступа к корпоративным информационным системам.

Связь NAC и Zero Trust

В рамках концепции нулевого доверия необходимо отслеживать все попытки обращения пользователя к корпоративным ресурсам и принимать решения об их правомерности. NAC делать этого не может, но он интегрируется с большим количеством различных решений, включая такие корпоративные системы безопасности, как DLP и межсетевые экраны. В зависимости от рассчитанных для компьютера показателей риска NAC определяет используемые для него политики безопасности и, например, дает файрволу команду ограничить доступ к определенным информационным системам.

У NAC есть два вида проверок – Preconnection и Postconnection. Если он разрешил устройству доступ в сеть или к корпоративным ресурсам, это вовсе не означает, что доступ открыт на неограниченный срок. Соответствие компьютера политикам безопасности будет периодически проверяться по заданному алгоритму. NAC позволяет задать, например, правило, требующее установки DLP-агента или агента MDM для мобильного устройства. В случае отсутствия нужного ПО критичные ИТ-системы будут недоступны пользователю, а офицер безопасности получит уведомление о произошедшем событии.

Zero Trust – это концепция, реализовать которую можно с помощью разнообразных средств обеспечения информационной безопасности. Когда персонал находится в офисе, особых проблем с проверкой рабочих компьютеров не возникает. Как только внутри защищенного периметра появляется большое количество подключенных через сети общего пользования личных устройств, ситуация меняется. В условиях самоизоляции NAC становится обязательным инструментом для реализации модели безопасности с нулевым доверием.

Темы:Защита сетейЖурнал "Информационная безопасность" #2, 2020

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Кибербезопасность инфраструктуры, информационных систем, данных и приложений | 7 марта 2025
Регистрация на конференцию →
Статьи по той же темеСтатьи по той же теме

  • Чем NDR лучше, чем NTA?
    Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”
    В 2024 г. NTA – устаревший класс решений в области анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой подразумеваются другая функциональность. Как бы то ни было, направление NTA у международных вендоров либо закрыто, либо эволюционировало в класс NDR. Возникает закономерный вопрос, какие задачи решает NDR, и чем он, собственно, отличается от NTA?
  • UserGate 7.0: новые возможности NGFW и экосистемы
    Компания UserGate объявила о релизе седьмой, существенно переработанной, версии собственной операционной системы, которая является основой для экосистемы UserGate SUMMA с флагманским продуктом UserGate NGFW во главе.
  • Технологический обзор российского рынка NGFW
    Дмитрий Хомутов, директор компании “Айдеко”
    Посмотрим правде в глаза: переходить с зарубежных Enterprise-продуктов на российские зачастую аналогично пересаживанию с иномарки на российский автомобиль
  • 8 принципов построения архитектуры безопасности в парадигме Zero Trust
    Виталий Даровских, менеджер по продукту Efros ACS компании “Газинформсервис”
    Внедрение Efros ACS и Efros CI поможет в реализации сразу четырех из восьми принципов ZT
  • Обзор возможностей Ideco UTM 13
    Чуть больше четырех месяцев прошло с момента предыдущего релиза, и вот пришла пора взглянуть на Ideco UTM 13
  • Эволюция экосистемы решений UserGate SUMMA
    Иван Чернов, Менеджер партнерского отдела UserGate
    SUMMA является не только технологическим, но и философским подходом с точки зрения дальнейшего развития технологий

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
6 марта | Отечественные ИT-платформы и ПО для объектов КИИ | Онлайн
Регистрация →

More...
ТБ Форум 2025
6 марта | Отечественные ИT-платформы для объектов КИИ
Жми, чтобы участвовать

More...