Доступ к информационным активам компании через удаленное подключение, в частности, с использованием тонких клиентов (не говоря уже о доступе с мобильных устройств), является одним из наиболее перспективных направлений развития информационных систем. Помимо целого ряда общеизвестных преимуществ такого подхода, очевидны также и проблемные зоны — прежде всего, это безопасность данных, доступных при удаленном доступе.

Предоставление пользователю стерильной рабочей среды, создаваемой, управляемой и контролируемой не самим пользователем, а IT-службой, является идеальным вариантом со многих точек зрения. Такая среда содержит те и только те бизнес-инструменты, которые необходимы пользователю для его задач — от полноценной Windows-среды (рабочего стола), реализованной в виртуальной или «физической» среде, до отдельного опубликованного приложения, доступ к которым пользователь получает через терминальную сессию.

Правильно реализованная терминальная среда ограничивает доступ пользователей к корпоративным данным, размещенным в инфраструктуре компании, сужая их ровно до той части, которая нужна для выполнения своих задач, — но при этом не гарантирует, что эти данные не могут быть использованы пользователем, будучи скопированными через буфер обмена из терминальной сессии с дальнейшим копированием на подключенные локально устройства — USB-накопители, принтеры и другие, либо сохранены или распечатаны напрямую на «проброшенные» в терминальную среду устройства и принтеры без использования буфера обмена.

Ввиду огромного разнообразия тонких клиентов внесение элементов безопасности и предотвращения утечек данных непосредственно на них теоретически возможно — однако вряд ли найдется вендор, готовый разработать такое решение для всего спектра тонких клиентов, существующих на рынке.

В данной ситуации оптимальным является решение класса DLP, устанавливаемое на стороне терминального сервера, а не клиента. DLP-комплекс DeviceLock DLP Suite обеспечивает возможность расширить возможности службы ИБ по созданию изолированной защищенной рабочей среды, а именно — решить задачу предотвращения утечек данных при использовании различных решений для виртуализации рабочих сред. Будучи установленным в передаваемой в терминальную сессию Windows-системе, DeviceLock обеспечивает полный контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие компьютеры периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными, а также централизованное журналирование действий пользователя и теневое копирование переданных им файлов и данных и тревожное уведомление службы ИБ в случае инцидента. При этом производится контентная фильтрация данных на предмет их соответствия DLP-политикам, заданным для этого пользователя при использовании терминальных сессий. Разумеется, все устройства и каналы сетевых коммуникаций, доступные на стороне сервера, точно так же будут контролироваться DeviceLock DLP.

Дополнительным преимуществом такого подхода является возможность предоставления пользователям контролируемого доступа к корпоративным данным с любого типа компьютеров и персональных устройств — будь то тонкий клиент, лэптоп, планшет, или даже смартфон.

Реклама