Як захистити інформацію підприємства засобами PKI та VPN

Потрібна допомога консультанту?

Захист корпоративних даних, організація доступу до них віддалених співробітників

Бізнес багатьох компаній, навіть невеликих, давно не зосереджений в одному офісі. Для ефективної роботи регіональні філії та віддалені співробітники вимагають постійної координації з іншими підрозділами компанії.

У такій ситуації важливе значення набуває збереження даних, що передаються між територіально рознесеними підрозділами. Втрата важливої ​​для бізнесу інформації може призвести до колосальних збитків. Серед ключових ризиків можна виділити такі:

  • перехоплення даних, що передаються відкритими каналами;
  • отримання інформації при втраті/крадіжці носіїв та обладнання співробітників.

Мінімізувати ризики можна скоротивши кількість інформації, яка зберігається локально на комп'ютерах співробітників, що залишають периметр безпеки компанії, та виключивши можливість доступу до корпоративних баз знань незахищеними каналами зв'язку.

Очевидно, що найкращим видом зберігання, захисту та доступу до інформації є її розміщення на корпоративних мережевих ресурсах. Приєднати територіально рознесені філії та окремих співробітників, які перебувають у відрядженні, до периметра безпеки мережі покликана технологія віртуальних приватних мереж (VPN).

Описана схема є класичною приватною мережею підприємства – інтрамережею, яка має забезпечити безпечний централізований доступ до корпоративної бізнес-інформації.

засобами

Залежно від застосовуваних протоколів та призначень VPN може забезпечувати з'єднання трьох видів: мережа-мережа, вузол-мережа та вузол-вузол. Для потреб об'єднання у спільну мережу віддалених філійта окремих співробітників, які знаходяться поза офісами, застосовні такі види:

мережа-мережа (Intranet VPN). Застосовується об'єднання у загальну захищену мережу кількох розподілених філій однієї організації, обмінюються даними по відкритим каналам зв'язку.

Детально принципи побудови мереж VPN описані у статті "Шифрування даних засобами Microsoft SQL Server"

Інфраструктура відкритого ключа. Комплексне рішення для захисту інформації та розмежування прав доступу до неї

У разі активного обміну важливою інформацією здається розумним підтверджувати особистість користувачів. Як загальноцивільні паспорти підтверджують особу їхнього власника в реальному світі, так інфраструктури відкритого ключа (PKI, public key infrastructure) дозволяють підтвердити особу в інтерактивному світі. Для більшості компаній засоби PKI швидко стають основою технології захисту інформації.

Інфраструктура відкритого ключа (PKI) є комплексним засобом забезпечення безпеки обміну інформацією. Завдання, які вирішуються цим інструментом:

  • забезпечення механізму суворої автентифікації;
  • організація захищеного обміну електронною поштою;
  • організація віртуальних приватних мереж (VPN) для захищених з'єднань віддалених користувачів та філіальних мереж організації;
  • організація захищених порталів (доступ через Інтернет), систем розмежування доступу до сайтів, порталів та додатків.

PKI заснована на парі ключів: один з них доступний для всіх, інший тримається в секреті. Ключі незалежні, але математично пов'язані, що дає їм асиметричні властивості, тобто будь-які дані, зашифровані одним ключем, можуть бути розшифровані іншим.

засобами

На наступному етапі, VPN-шлюз повинен переконатися,чи має користувач, що представився сертифікатом PKI, право на доступ до мережі. Способів перевірки може бути декілька. У найпростішому випадку центром сертифікації може виступати сам шлюз і додаткових етапів у перевірці валідності ключа не потрібно.

Однак схема може бути ускладнена. Шлюзів може бути дещо в різних регіонах. Користувачі підключаються до них, вибираючи за принципом найменшої затримки. Шлюзи уточнюють правомірність доступу у Центру Сертифікації всередині інтрамережі (або ланцюжка ЦС, якщо один не в змозі опрацювати всі запити, пов'язані з обслуговуванням сертифікатів).