Решить эту задачу помогают современные отечественные средства виртуализации, с помощью которых можно создать изолированный контур и обеспечить безопасное подключение к нему. Важно, чтобы эти средства были сертифицированы ФСТЭК, т.е. чтобы их соответствие актуальным требованиям безопасности было проверено и подтверждено государственным органом.
Рассмотрим задачу и способ ее решения на примере одного из самых чувствительных типов объектов КИИ - аэропортов, где нарушение работы ИТ-систем может привести к особенно серьезным последствиям.
Изоляция vs функциональность
Аэропорт, как и любой другой объект КИИ, должен соответствовать строгим требованиям регуляторов по информационной безопасности. Самый простой способ выполнить их - полностью перенести все системы в закрытый, изолированный, контур. Но такой подход создает серьезные препятствия для нормального функционирования:
- Сотрудники лишатся возможности участвовать в видеоконференциях с внешними партнерами.
Конечно, можно просто «пробить дыру» в защитном периметре для выхода в сеть, но такой подход ставит под угрозу всю инфраструктуру. Поэтому для обеспечения необходимой функциональности требуются специализированные решения, способные безопасно связать изолированный контур с внешним миром без компрометации защиты.
Виртуальные рабочие столы: мост между изоляцией и функциональностью
Современные средства виртуализации позволяют создать изолированные программные среды, которые могут безопасно взаимодействовать с внешними ресурсами, не подвергая риску критическую инфраструктуру. В качестве примера возьмем решение от вендора «Базис», лидера российского рынка виртуализации. Оно основано на создании виртуальных рабочих столов (VDI), которые служат безопасным «мостом» между закрытым контуром и внешним миром. В основе решения лежат два продукта:
- Безопасное подключение из закрытого контура.
- Гипервизор vCore, создающий изолированные виртуальные машины для запуска операционных систем.
Как это работает: архитектура безопасности
Архитектура решения основана на создании демилитаризованной зоны (ДМЗ) между закрытым контуром и интернетом. В ДМЗ размещается диспетчер подключений (брокер), который служит контролируемой точкой доступа к виртуальным рабочим столам. Сами виртуальные рабочие столы располагаются в закрытом контуре за пределами ДМЗ, что обеспечивает дополнительный слой безопасности.
Сотрудник из закрытого контура запускает клиентское приложение Basis Workplace, которое устанавливает соединение с диспетчером подключений в ДМЗ. Диспетчер подключений, защищенный межсетевыми экранами, обеспечивает доступ к виртуальным рабочим столам в закрытом контуре. Виртуальные рабочие столы, в свою очередь, имеют контролируемый доступ в интернет через отдельный защищенный канал.
Важная особенность архитектуры - применение различных политик безопасности в зависимости от источника подключения. При подключении из защищенного периметра пользователям разрешается использовать буфер обмена, периферийные устройства и USB-накопители. При подключении из внешней сети (например, из домашнего офиса) эти возможности блокируются для предотвращения утечки данных.
Такая многослойная архитектура создает надежный барьер между критическими системами и внешним миром. Даже если виртуальный рабочий стол будет скомпрометирован, злоумышленники не получат доступа к системам в закрытом контуре, а данные не будут храниться на конечных устройствах пользователей.
Что получают пользователи?
Виртуальные рабочие столы дают сотрудникам широкие возможности для работы в интернете, но в строгих рамках корпоративных политик безопасности.
Контроль доступа к веб-ресурсам осуществляется либо на уровне гостевой операционной системы виртуального рабочего стола, либо на уровне шлюзов доступа или прокси-серверов. Это позволяет организации разрешать сотрудникам посещение только необходимых для работы ресурсов и блокировать все потенциально опасные или нежелательные сайты и сервисы.
- Руководители могут участвовать в видеоконференциях с внешними партнерами.
При этом все действия выполняются в изолированной виртуальной среде, физически отделенной от критической инфраструктуры. Скачивание файлов, просмотр веб-страниц, любые потенциально рискованные действия не смогут напрямую повлиять на системы в закрытом контуре.
Особенно важно, что пользователи работают с привычными веб-браузерами и другими интернет-приложениями без каких-либо ограничений функциональности. Виртуальный рабочий стол выглядит и ведет себя как обычный компьютер с полным набором программ для работы.
Работа с электронной подписью и USB-устройствами
Предположим, финансисту необходимо подписать платежное поручение в интернет-банке с помощью токена электронной подписи. Задача, тривиальная в обычных условиях, превращается в проблему: компьютер находится в закрытом контуре, а для подписи требуется доступ в интернет.
Решение «Базис» устраняет эту проблему с помощью технологии проброса USB-устройств. Сотрудник подключает токен или смарт-карту к устройству доступа (например, ПК) с установленным клиентом Basis Workplace. Устройство доступа может находиться как в защищенном периметре, так и во внешней сети - в зависимости от этого применяются различные политики безопасности. Basis Workplace автоматически делает подключенное устройство доступным на виртуальном рабочем столе, при этом поддерживаются:
- Устройства для работы с КриптоПро и другими системами шифрования.
Теперь сотрудники могут полноценно работать с системами, требующими строгой аутентификации - будь то государственные порталы, системы отчетности или электронный документооборот - прямо из безопасной среды виртуального рабочего стола.
Бесшовный доступ к локальным ресурсам
Сотрудник хранит важные документы на своей рабочей станции в закрытом контуре. К этой же станции подключены принтеры и другие периферийные устройства. Как использовать эти локальные ресурсы при работе в виртуальном рабочем столе? Без специального решения пришлось бы копировать файлы через промежуточные носители или дублировать настройки - неудобно и рискованно с точки зрения безопасности.
Проброс ресурсов через устройство доступа. Периферийные устройства (принтеры, сканеры, USB-накопители) подключаются к устройству доступа, на котором запущен клиент Basis Workplace, а доступ к ним пробрасывается в виртуальный рабочий стол.
Подключение к физическому ПК через агент. Через устройство доступа можно подключаться к физическому компьютеру в офисе, на котором установлен агент Basis Workplace. Это обеспечивает доступ к файлам, приложениям и ресурсам офисного компьютера из любого места.
Кроссплатформенность
Решение «Базис» поддерживает разнообразные операционные системы - как на стороне клиентских устройств (Windows, Альт, Astra Linux, РЕД ОС), так и на виртуальных рабочих столах. Это позволяет внедрить его в любую существующую ИТ-инфраструктуру предприятия без необходимости глобальных изменений.
Преимущества для службы информационной безопасности
Предлагаемое «Базисом» решение не только облегчает работу конечных пользователей, но и предоставляет существенные преимущества для специалистов по информационной безопасности.
Прежде всего, архитектура с виртуальными рабочими столами создает эффективный барьер между закрытым контуром и интернетом. Даже если устройство доступа будет скомпрометировано, злоумышленники не получат доступа к критическим системам в закрытом контуре. Это принципиально другой уровень защиты по сравнению с традиционными решениями на основе межсетевых экранов и прокси-серверов.
Особое внимание уделено аудиту и мониторингу. Система ведет подробные журналы действий пользователей, что позволяет отслеживать, кто, когда и к каким ресурсам получал доступ. Эта информация бесценна при расследовании инцидентов и формировании отчетов для регуляторов. В случае обнаружения подозрительной активности специалисты ИБ могут оперативно реагировать, вплоть до немедленного прекращения сессии пользователя.
Важный момент - Basis Workplace и Basis Dynamix Standard полностью соответствуют требованиям российского законодательства о защите КИИ. Решение «Базиса» обеспечивает надежную защиту от несанкционированного доступа к значимым объектам, изоляцию сегментов информационной инфраструктуры и контроль действий всех участников. Это значительно упрощает процесс прохождения регуляторных проверок и снижает риски санкций за несоблюдение требований законодательства.
Как происходит внедрение
В «Базисе» разработана прозрачная и эффективная методология внедрения платформы виртуализации, учитывающая специфику объектов КИИ и возможные индивидуальные требования заказчиков.
Процесс начинается с тщательного анализа потребностей. Эксперты изучают существующую инфраструктуру заказчика, проводят интервью с ключевыми сотрудниками и определяют сценарии использования системы. На основе этого анализа формируется детальный список требований к решению, учитывающий как технические аспекты, так и особенности бизнес-процессов предприятия.
На этапе проектирования архитектуры интегратор разрабатывает схему решения с учетом всех выявленных особенностей и ограничений инфраструктуры заказчика. Здесь компания готова рассмотреть и нестандартные требования. Например, можно интегрировать решение с устаревшими, но критически важными системами мониторинга, использующими проприетарные протоколы - такие задачи нередко возникают на промышленных предприятиях. В таких случаях инженеры разрабатывают специальные «коннекторы», которые позволяют включить эти системы в общий контур безопасности без необходимости их модернизации.
После утверждения архитектуры вендор разворачивает тестовый стенд - демонстрационную среду, на которой заказчик может оценить работу решения «Базиса» в приближенных к реальным условиях. Это позволяет на ранней стадии выявить возможные проблемы и скорректировать подход к внедрению.
Для ускорения процесса внедрения специалисты «Базиса» максимально автоматизировали все рутинные операции. От заказчика требуется лишь корректно заполнить «техландшафт» - документ с описанием целевой инфраструктуры. На его основе формируется конфигурация системы, подготавливаются серверы, настраиваются операционные системы и проверяется готовность инфраструктуры.
Этап настройки и интеграции включает адаптацию решения к существующей инфраструктуре, настройку компонентов системы и их интеграцию с действующими информационными системами предприятия. Особое внимание уделено минимизации влияния на текущие бизнес-процессы - внедрение происходит поэтапно и не нарушает работу критически важных служб.
Перед запуском в эксплуатацию проводится комплексное тестирование и аудит безопасности всех компонентов решения. Вендор проверяет функциональность, а интегратор - соответствие требованиям регуляторов. При необходимости выполняется дополнительная настройка средств защиты.
После завершения тестирования проводится демонстрация работающего решения руководству и ключевым специалистам заказчика. «Базис» собирает обратную связь и при необходимости вносит финальные корректировки.
Заключительный этап - запуск решения в промышленную эксплуатацию. В зависимости от требований заказчика вендор может как обеспечить полную передачу компетенций внутренней ИТ-службе, так и взять на себя сопровождение системы в режиме 24/7.
Универсальное решение для всех объектов КИИ
- Здравоохранение - больницы, диагностические центры, системы медицинских данных.
Везде, где требуется сочетание высокой безопасности с доступом к внешним ресурсам, решение вендора доказывает свою эффективность.
Например, банк ВТБ еще в прошлом году мигрировал с платформы Citrix на Basis Workplace, переведя на новое решение большую часть своих сотрудников. Аналогичные проекты по замещению зарубежных VDI-решений реализованы и в других крупных российских организациях, в том числе на объектах КИИ.
О компании
По данным IKS Consulting компания «Базис» с 30% рынка занимала первое место на рынке виртуализации ИТ-инфраструктуры в 2023 г. Также агентство называет «Базис» «крупнейшим игроком на рынке российских систем серверной виртуализации и VDI».
- Лидируют на рынках виртуализации рабочих мест и серверной виртуализации.
Заключение: безопасность без изоляции
Размещение критических систем в закрытом контуре не должно означать цифровую изоляцию. Решение на базе Basis Workplace и Basis Dynamix Standard позволяет выстроить надежный защищенный мост между закрытым контуром и интернетом, сохраняя высокий уровень безопасности.
Вендор понимает специфику работы объектов КИИ и готов помочь найти оптимальный баланс между защищенностью и функциональностью вашей ИТ-инфраструктуры. Потому что настоящая безопасность - это не изоляция от цифрового мира, а умное управление рисками.