В рубрику "Облака" | К списку рубрик | К списку авторов | К списку публикаций
Объектом настоящей статьи будут корпоративные приложения и корпоративные облачные ресурсы. Корпоративное облако – это традиционный центр обработки данных, построенный с использованием облачных технологий, который также называют частным облаком. Более подробно рассматривать, как именно организована облачная инфраструктура в данном ЦОД, не будем, поскольку тема защиты приложений в рамках периметра ЦОД выходит за рамки настоящей статьи. Остановимся на вопросе о том, какие приложения используются в компании.
В настоящее время выбор весьма разнообразный. Это могут быть традиционные программные продукты Windows, Web-приложения, а также активно появляющиеся на рынке приложения для тех или иных мобильных платформ. Помимо разнообразия приложений, существуют различные технологии удаленного доступа. В результате есть несколько вариантов решения поставленной задачи – безопасного удаленного доступа к корпоративным облачным приложениям.
VPN можно организовать с помощью:
В данном случае за обеспечение безопасного удаленного доступа отвечает клиентская часть приложения. На нее возлагаются задачи по защите канала передачи данных. Плюсом такого подхода является отсутствие необходимости в дополнительных программно-аппаратных решениях. При самостоятельном построении приложением VPN-туннеля оно подключается к конкретным ресурсам в ЦОД, а остальной уходящий с устройства трафик проходит стандартными путями и не достигает защищенных ресурсов. Такой вариант доступа также очень удобен, если основная масса необходимых приложений – Web-приложения, к которым мы подключаемся с помощью браузера, присутствующего на каждом устройстве. Минусами в данной ситуации являются ограничения платформы, для которой разрабатывается приложение (если речь идет о клиент-серверных приложениях) и потенциальная необходимость открытия дополнительных портов на межсетевых экранах.
Требование настройки для каждого приложения на каждом устройстве также негативно скажется при внедрении на больших объемах. При работе пользователя с несколькими приложениями операции по настройке придется повторить для каждого из них. Часть проблем может быть устранена при использовании в компании решений по Mobile Application Manager (MAM), если необходим доступ с различных мобильных устройств и интеграция с такими решениями, как MS System Center, для работы с традиционными ПК и ноутбуками. Данные решения позволяют централизованно управлять обновлением и настройкой соответствующих приложений.
Фактически это один из вариантов решения, использующий механизмы защиты на уровне конкретного приложения. Здесь таким приложением является агент, с помощью которого осуществляется подключение к порталу, где размещены требуемые пользователю ресурсы. Например, при интеграции с решениями по управлению мобильными приложениями данный подход позволяет собрать все необходимые конечному пользователю ресурсы, включающие мобильные, Windows-, Web- и SaaS-приложения, а также данные, с которыми работает пользователь. Существуют программы-агенты для подключения под различные платформы, в последнее время также появились клиенты, написанные для HTML5. В подобных случаях не требуется дополнительная установка на клиентское устройство программного обеспечения для удаленного доступа, достаточно иметь браузер, поддерживающий эту технологию. В случае работы с Windows-, Web- и SaaS-приложениями пользовательское устройство будет выполнять роль "телевизора", на который передается только "картинка". Однако при обращении к мобильному приложению оно будет доставлено на клиентское устройство в виде защищенного контейнера и ему потребуется использование физических ресурсов этого оборудования. И у данного подхода также есть свои минусы, заключающиеся в необходимости закупки дополнительного оборудования и соответствующих лицензий, выделении квалифицированных специалистов для настройки и сопровождения таких решений.
В данной статье рассмотрено несколько вариантов организации удаленного безопасного доступа к корпоративным ресурсам. Какой из них выбрать, зависит от нескольких факторов, например от размера компании, имеющегося бюджета, типов корпоративных приложений, необходимости интеграции с другими IT-инициативами. К таким инициативам могут быть отнесены: мобильность, BYOD, централизация IT-ресурсов и т.д. Для выбора наиболее оптимального варианта рекомендую обратиться к специалистам компаний-интеграторов, которые смогут оценить все имеющиеся данные и подобрать решение в соответствии с задачами каждого конкретного заказчика.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2014