DLP-технологии

mdm

Как известно, по многим причинам наиболее безопасной является стерильная рабочая среда, построенная на основе виртуализации и терминального доступа. Такая среда содержит те и только те бизнес-инструменты, которые необходимы пользователю для выполнения его задач — от полноценной среды Windows в форме виртуальной машины (рабочего стола) до отдельного опубликованного приложения, доступ к которым пользователь получает через терминальную сессию.
Корпоративные данные в такой модели организации работы хранятся и обрабатываются строго на стороне корпоративного сервера, пользователю же в терминальной сессии предоставляется только результат обработки. Предоставленная через терминальный доступ виртуальная среда также сразу содержит элементы защиты среды передачи данных, антивирусную защиту и другие средства информационной безопасности. Вторая сторона виртуализации — это личная зона пользователя. Внедрение элементов безопасности на персональных устройствах на практике реализуемо с огромными усилиями как организационного, так и технического характера (сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие гарантий предоставления личного устройства службе ИТ и т. д).
Специализированные решения для мобильных устройств, относящиеся к классу Mobile Device Management и работающие резидентно на мобильных устройствах, всего лишь создают изолированный защищенный контейнер для корпоративных данных на мобильном устройстве. Они обеспечивают только базовый контроль подключаемых к личному устройству локальных каналов хранения и передачи данных, но при этом сами все еще весьма уязвимы и не могут стопроцентно гарантировать защиту хранимых на персональном устройстве данных в силу ряда технических обстоятельств. Кроме того, большую роль играет и человеческий фактор — не будем забывать, что мы все-таки имеем дело с персональным устройством и, как правило, однопользовательской операционной системой.
В сценарии с использованием виртуальной рабочей среды и предоставлением к ней доступа через терминальные сессии логично будет с помощью DLP-технологий поставить под контроль утечку данных через сетевые протоколы, доступные внутри виртуальной среды, корпоративные файловые хранилища и принтеры, а также перенаправляемые внутрь терминальной сессии личные периферийные устройства, в том числе буфер обмена. Важно подчеркнуть, что такой сценарий является универсальным и применим на всех видах личных устройств. В их числе могут быть любые мобильные платформы — такие как iOS, Android и Windows RT, тонкие терминальные клиенты под управлением Windows СЕ, Windows ХР Embedded или Linux, а также любые компьютеры под управлением OS X, Linux или Windows. Все, что нужно сотруднику, — это клиент для удаленного доступа по протоколу RDP или 1СА (например, Citrix Receiver) либо в качестве терминального клиента используется любой веб-браузер, поддерживающий HTML5. С серверной стороны в сценарии с HTML5 требуется дополнительный компонент архитектуры терминальной среды — прокси-сервер RDP-HTML5, переводящий стандартный протокол удаленного доступа (RDP или 1СА) в протокол HTML5/WebSockets. Как следствие, службе ИТ не приходится тратить время и силы на развертывание специализированного программного обеспечения для терминальных сетей, благодаря чему такой сценарий предоставления терминального доступа к корпоративным ресурсам может стать очень популярным.
Описанная выше схема — далеко не единственная для активного применения терминальных сред. Часто встречается сценарий, когда серверы компании размещаются в «облаке», а сотрудники офиса работают с данными из «облака» через терминальную среду. Особенно часто в «облако» помещается корпоративный почтовый сервер, а пользователи получают доступ к почте посредством опубликованного приложения (например, Microsoft Outlook в среде Citrix ХепАрр), запускаемого на внешнем сервере. Еще одна актуальная сфера применения терминального доступа — это решение задачи обеспечения безопасности при подключении собственных устройств сотрудников. Службе информационной безопасности после создания стерильной среды пользователя, доступной через терминальные сессии, остается только позаботиться о внедрении в виртуальную среду средств защиты от утечек данных. Одним из таких решений является DLP-комплекс DeviceLock Endpoint DLP Suite.