33. Организация безопасного удаленного доступа
Современные корпоративные информационные системы предъявляют все более высокие требования к защите корпоративных сетей от разного рода воздействий внешней среды и к обеспечению полной безопасности корпоративной информации. Степень защищенности корпоративной информации является одним из основных параметров построения сети компании. Требования, предъявляемые к системе безопасности корпоративной сети, непосредственно зависят как от уровня секретности информации, циркулирующей между подразделениями компании, так и от территориальной структуры самой корпоративной сети. Многие компании представляют собой сложную, территориально распределенную структуру, включающую головной офис, филиалы, сеть складов, производственные помещения и т.д. Для обеспечения эффективной работы компании необходима целостность и конфиденциальность информационных потоков в корпоративной сети. В то же время для решения данной задачи одним из основных направлений построения эффективной комплексной системы безопасности компании является разграничение прав доступа подразделений компании к корпоративным ресурсам и определение степени секретности информации, обрабатываемой каждым конкретным подразделением.
Корпоративная сеть компании может быть реализована различными способами: на базе выделенных каналов связи между локальными сетями подразделений компании, на базе применения Интернета как среды транспортировки данных, на базе беспроводных соединений и другими способами. Выбор способа, как правило, зависит от размеров компании и соответственно от суммы капиталовложений в развитие сетевых решений. На практике использование выделенных каналов связи требует больших денежных затрат.
Для обеспечения безопасного сетевого соединения с распределенными подразделениями компании организуется виртуальная частная сеть (Virtual Private Networks, VPN), которая использует набор технологий, гарантирующих секретность, защиту и целостность данных, передаваемых по сети общего пользования. Слово «частный» в данном контексте означает, что передача данных между удаленными пользователями корпоративной сети компании осуществляется в зашифрованном виде, что позволяет говорить о создании безопасного канала связи — «туннеля». В качестве среды транспортировки шифрованных данных используется Интернет.
Данное решение является оптимальным в плане финансовых затрат и позволяет обеспечить наиболее гибкий способ доступа удаленных пользователей к ресурсам корпоративной сети. Перед администраторами удаленного доступа и систем VPN стоит сложная задача — подготовить и развернуть такое решение, которое даст возможность одновременно удовлетворять потребностям различных пользователей корпоративной сети предприятия. В настоящее время на рынке средств организации виртуальных частных сетей имеется множество готовых решений и технологий, частично дублирующих друг друга по выполняемым функциям. В то время как большая часть текущих решений удаленного доступа использует виртуальные частные сети с применением протокола IPSec (Internet Protocol Security), на рынке увеличивается число продавцов, предлагающих технологию удаленного доступа к ресурсам корпоративной сети, основанную на протоколе SSL (Secure Socket Layer) для шифрования данных. Они обращают внимание пользователей прежде всего на интуитивную понятность ее использования и простоту установки. В данной статье представлены результаты анализа преимуществ и недостатков применения виртуальных частных сетей на базе обоих протоколов для решения задачи предоставления оптимального со всех точек зрения решения удаленного доступа к внутренним ресурсам корпоративной сети.
Для построения универсальной системы удаленного доступа пользователей к корпоративной сети компании невозможно рекомендовать какую-то одну технологию построения виртуальной частной сети — на базе протокола IPSec либо SSL. Выбор той или иной технологии зависит от конкретной ситуации. Комплексная система защиты предполагает совместное использование различных технологий построения виртуальной частной сети, связанных в единое целое, для обеспечения удобного, гибкого и прозрачного доступа удаленных пользователей к ресурсам корпоративной сети. Создание комплексной системы защиты данных корпоративной сети фактически основано на применении существующих технологий с учетом их дальнейшего развития.