Obcy komputer w firmowej sieci - jak to przetrwać

Coraz więcej firm zezwala na wykorzystywanie prywatnych urządzeń w miejscu pracy. Nie oznacza to rezygnacji z bezpieczeństwa, jeśli stoi za nią znajomość zagrożeń i sposobów minimalizacji ryzyka.

Działy IT tradycyjnie uznają za obcy każdy komputer, smartfon lub tablet, którymi samodzielnie nie zarządzają albo niezgodny ze standardem korporacyjnym, został wyposażony w oprogramowanie spoza listy zatwierdzonych do użycia aplikacji. Zazwyczaj korporacje robią wszystko, by pracownicy korzystali z zatwierdzonego sprzętu, dostarczonego przez firmę, argumentując to lepszym wsparciem ze strony administratorów, sprawdzoną konfiguracją i obsługą.

Unifikacja sprzętu ma swoje zalety, ale także może być wadą, gdy część pracowników będzie uważać, że stosowane tam rozwiązania techniczne ograniczają ich możliwości pracy. Ograniczenia te mogą dotyczyć producenta wybranego modelu smartfona albo zawężenia funkcjonalności oprogramowania w laptopach, co niekiedy wyklucza wykorzystanie tych urządzeń do zastosowań osobistych, w tym domowych.

Opcja 1

Dwie instancje systemu

Pierwszym sposobem stosowanym w firmach były dwie instancje systemu operacyjnego: jedna do pracy z wbudowanymi wszystkimi ograniczeniami i precyzyjnie zarządzana, druga pozbawiona zarówno ograniczeń, jak i dostępu do firmowych zasobów - sieci oraz dokumentów. Chociaż zmniejsza to ryzyko wprowadzenia zagrożenia do sieci korporacyjnej, utrudnia pracę poza biurem i uniemożliwia połączenie zadań związanych z pracą z innymi, które można wykonywać w tym samym czasie. Metoda ta jest stosowana do dziś, mimo swoich wad.

Niektóre firmy decydują się na wyższe uprawnienia dla zaawansowanych użytkowników, umożliwiając im instalację drukarek lub inne czynności, pod warunkiem ścisłego stosowania się do opracowanych reguł. Metoda niesie wyższe ryzyko, ale w przypadku dobrze wyszkolonych użytkowników, dysponujących wiedzą w dziedzinie IT, może przynieść pozytywne efekty. Nie jest jednak zalecana, gdyż może spowodować pojawienie się niepożądanego oprogramowania na firmowych komputerach.

Opcja 2

Filtrowanie urządzeń i podsieć

Zagrożenie związane z obecnością obcego urządzenia w firmowej sieci wynika stąd, że oprogramowanie zainstalowane na stacji roboczej, telefonie czy tablecie może zawierać złośliwy kod, który powoduje straty. Niejedna firma została w ten sposób zarażona wirusami wykorzystującymi luki w usługach sieciowych Microsoft Windows (w ten sposób roznosiły się wirusy takie jak Sobig czy Conficker), dlatego obawa administratorów przed komputerami z potencjalnie złośliwym kodem we wrażliwej części sieci jest uzasadniona.

Aby zmniejszyć ryzyko, można wprowadzić regułę wpuszczania do firmowej sieci tylko tych stacji roboczych, które zawierają aktualny system operacyjny wraz ze sprawnym i aktualnym zarządzanym przez firmę. Nie jest to rozwiązanie idealne, gdyż nadal umożliwia infekcję stacji roboczej przez wirus, który potrafi ominąć narzędzia antywirusowe, co jest niemalże regułą w przypadku dzisiejszych narzędzi do kradzieży informacji. Niektóre firmy zdecydowały się na utworzenie osobnych podsieci dla gości, dzięki czemu nie wpuszczają niepożądanego ruchu do swojej sieci, a jednocześnie umożliwiają niezarządzanym komputerom kontrolowany dostęp do internetu. W ten sposób można także w bezpieczny sposób udostępnić firmowe aplikacje.

Stworzenie specjalnej podsieci dla niezaufanych urządzeń warto wdrożyć w każdej firmie, do tego wystarczy dowolny, dobrze skonfigurowany router. Aplikacje można udostępnić za pomocą technologii, takich jak usługi terminalowe lub strumieniowanie.

Opcja 3

Usługi terminalowe

Dzisiejsze narzędzia wirtualizacji aplikacji są dostępne praktycznie dla każdej firmy i umożliwiają dostarczenie firmowego oprogramowania w taki sposób, by informacja była przetwarzana tylko w chronionym środowisku. Pierwszym krokiem jest zazwyczaj udostępnienie aplikacji za pomocą środowisk terminalowych. Usługi terminalowe są dostępne od ponad 10 lat, charakteryzują się prostotą wdrożenia, wysokim bezpieczeństwem przetwarzania informacji, elastycznością działania oraz łatwością wsparcia technicznego. Oprogramowanie klienta takich usług działa praktycznie na każdym sprzęcie, wliczając smartfony i tablety, i umożliwia pracę z niemal każdą . W ten sposób można udostępnić cały pulpit z systemów Windows, okna pojedynczych aplikacji, a także utworzyć dedykowane menu aplikacji.

W modelu dostarczenia aplikacji przez sieć za pomocą usług terminalowych informacja nigdy nie zostaje zapisana na urządzeniu klienckim, wszystkie procesy są uruchamiane na serwerze, przekazując przez sieć tylko obraz oraz ruch myszki i wciskane klawisze. Pominąwszy koszty licencji na usługi terminalowe w środowisku Microsoft Windows, jest to najtańszy sposób na udostępnienie aplikacji na niemal dowolne urządzenie, wliczając domowe komputery z systemem Microsoft Windows, Linux i OS X. Ponadto w sklepach z aplikacjami dla telefonów i tabletów znajduje się oprogramowanie klienta dla platform i Apple iOS. Istnieje także wersja Java ME dla innych telefonów komórkowych. Jest to świetny sposób udostępnienia aplikacji do pracy na tabletach, takich jak iPad czy urządzenia z systemem Google Android, w dodatku działa szybko i sprawnie.

Wadą usług terminalowych jest uzależnienie pracy od połączenia z serwerem. W obrębie sieci firmowej nie jest to problemem, ale podczas podróży łącza mobilne nie zawsze zapewnią wystarczającą przepustowość i niskie opóźnienia, by praca była komfortowa.

Opcja 4

Bezpieczna paczka

Jeśli klientem jest komputer z systemem Windows (na przykład laptop), to można udostępnić aplikację w formie paczki. W odróżnieniu od wirtualizacji serwerowej nie uruchamia się tutaj obrazu całego systemu operacyjnego wraz z aplikacjami, ale dostarcza samą aplikację, uruchamiając ją w kontrolowanym środowisku.

Metoda umożliwia przekazanie użytkownikom obrazu aplikacji w kontrolowany sposób, przy czym będzie ona działała, nawet gdy nie będzie połączenia z serwerem. Rozwiązania do wirtualizacji aplikacji umożliwiają kontrolę nad tym, kto i kiedy może ją uruchomić, do jakich danych oprogramowanie ma mieć dostęp, jak zabezpieczyć zasoby wewnątrz paczki. Aby oszczędzić pasmo, aplikacja może być tak przygotowana, by pobierać jej składniki przez sieć nie w całości, ale w kolejności zapotrzebowania, dzięki czemu nie trzeba przesłać całego obrazu (niekiedy może zajmować on nawet kilka gigabajtów), ale minimum niezbędne do pracy i w miarę potrzeb uzupełniać brakujące składniki przez sieć.

Taka aplikacja będzie działać także w samolocie lub innym miejscu pozbawionym połączenia z siecią firmową, a po zestawieniu połączenia zmiany zostaną automatycznie zsynchronizowane do zasobów firmowego serwera. To samo dotyczy aktualizacji, które są wprowadzane zgodnie z harmonogramem opracowanym przez administratorów. Po zakończeniu zaplanowanego czasu pracy aplikacji zostanie ona automatycznie odinstalowana, nie pozostawiając żadnych firmowych danych na stacji roboczej.

Opcja 5

Hypervisor lub mikrodystrybucja

Najbardziej radykalną metodą jest posiadanie zainstalowanych dwóch instancji systemu operacyjnego uruchamianych wewnątrz hypervisora. W ten sposób można łączyć pracę w zabezpieczonym systemie wyposażonym w zatwierdzone i kontrolowane przez korporację oprogramowanie z zastosowaniami czysto domowymi, dla których ograniczenia wprowadzane przez firmowe IT są zbyt restrykcyjne. Metoda ta jest bezpieczna, wymaga jednak komputera o nieco większej wydajności w porównaniu do eksploatacji aplikacji w paczkach.

Niektóre firmy decydują się na jeszcze inny model, przygotowując mikrodystrybucję Linuksa uruchamianą w maszynie wirtualnej, zawierającą klienta, który bezpiecznie połączy się ze środowiskiem korporacyjnym i umożliwi pracę z firmowymi aplikacjami w izolowanym od stacji roboczej środowisku. Istnieje również rozwiązanie odwrotne, które ułatwia przeglądanie internetu - mikrodystrybucja Linuksa wyposażona jedynie w standardową przeglądarkę internetową, uruchamianą w bezpiecznym środowisku. Dzięki temu zagrożenia pochodzące z internetu będą ograniczone do maszyny wirtualnej, z której trudno byłoby wejść do sieci firmowej.