Контроль защищенности рабочей среды как у удаленных пользователей, так и внутренних пользователей - постоянный процесс в любой компании.
Три компонента защиты внешних сотрудников: MDM, VPN и контроль доступа внутри сети
1. Для контроля удаленных сотрудников, использующих ноутбуки, смартфоны, iPad и так далее используются системы Мobile Device Management (MDM), например, VMWare AirWatch. Cистемы MDM позволяют единообразно проконтролировать установленный софт, запустить его в защищенном контейнере, установить или удалить необходимый софт, например, VPN клиент.
2. Для внешних сотрудников стандартном стало использование клиентов VPN, которые по IPSEC или SSL создают защищенное соединение с ресурсами компании. Есть варианты и доступа по VPN через стандартный браузер HTML5 без установки клиента.
3. Для собственных и даже сторонних сотрудников стало правилом проверять защищенность перед получением доступа в сеть: обновлена ли операционная система, установлен ли нужный корпоративный софт: антивирусы, бекапы, персональные firewall и т.д. И если такой сотрудник правильно следит за обновлениями, пользуется антивирусами, бекапами, шифрованием диска, то он вносит значительную лепту в рост защищенности компании. Но, чаще всего сотрудники, не следят за безопасностью. Чтобы разделить доступ сотрудников, у которых все хорошо с настройками ноутбука, и у которых есть еще что настроить в сетях вводятся различные правила доступа. Чаще всего упоминается технология Network Access Control (NAC), когда сотрудник просто не получает доступ к нужной сети, если он не соответствует требованиям компании к безопасности своего рабочего места. И сегодня мы поговорим про похожую технологию, которая работает и на сетевом уровне и на уровне приложений: HIP.
Те, коллеги, кто уже успел настроить межсетевой экран Palo Alto Networks, знают, что в нем есть поле-критерий под названием HIP Profile. Оно применимо для любого для трафика, который идет через межсетевой экран. Это поле расшифровывается как Host Information Profile (далее сокращенно HIP)
Почему оно есть в этом NGFW и нет в других?
Пример настройки HIP Profile
Приведу пример. Допустим, мы хотим разрешить работу нужного приложения только для хостов сети с установленной Apple Mac OS X. На межсетевом экране мы создаем HIP Object, в котором включена данная проверка.
HIP Profile это набор нужных нам HIP Object, которые мы хотим добавить в проверку. Добавим туда один объект MacOSX, который мы создали выше.
И также добавляем оповещение всем, кто не прошел данную проверку. Сообщение можно сделать на разных языках.
Добавляем этот HIP Profile в нужное правило или пишем новое правило в политике NGFW с этим критерием, как дополнительную проверку доступа к данной зоне сети или приложению. Например, пусть это будет доступ к приложениям apple-update и crashplan:
Что такое HIP Profile
Объект HIP Profile является частью политики безопасности NGFW. Данный объект ставится как квалификатор в правиле NGFW позволяет проверить устройство каждого пользователя на соответствие требованиям безопасности в вашей компании и на основании критерия соответствия безопасно разрешить доступ.
При подключении в сеть от клиента в NGFW приходит HIP Report, который выглядит как XML файл, который создает на каждом устройстве установленный агент GlobalProtect. Часть информации агент получает локально, часть от внешних источников, например, от DNS или WSUS (Windows Software Update Server) об отсутствии патчей Windows. Если сотрудник внутри сети компании, то IPSEC или SSL туннель уже не нужно устанавливать и HIP Report передается по внутренней сети. Часто проверку HIP ассоциируют с NAC, но NAC этот все-таки сетевой уровень доступа по зонам сети и портам, а HIP - это доступ еще и к приложениям сети, понятии, которое есть только в NGFW. В правилах межсетевого экрана нового поколения вы используете больше критериев в правилах. Если хост соответствует одному или нескольким критериям, то правило не пускает хост или пускает с минимальными правами. Вы можете создать несколько правил для одного и того же хоста, где каждое правило даст разные уровни доступа в зависимости от состояния защиты на хосте.
GlobalProtect Agent - источник HIP
Вот так выглядит информация о хосте, которую собрал GlobalProtect агент. Соответственно, этому хосту будет предоставлен доступ согласно правилу безопасности выше: это Mac OS X.
GlobalProtect агент устанавливается на ноутбуки, мобильные устройства, хосты компании чаще всего как VPN клиент, который подключается к VPN шлюзу по IPSEC или SSL. GlobalProtect - это бесплатная программа доступная в AppleStore или Google Play Market. Вы можете сгенерировать и свою версию клиента, например, с уже встроенным сертификатом для доступа в сеть компании.
GlobalProtect внутри сети для работы USER-ID
И еще одна задача клиента Global Protect - работать как USER-ID агент, то есть он рассказывает межсетевому экрану какой пользователь работает сейчас на данном хосте и также присылает HIP при подключении и периодически, чтобы проверить что ничего в состоянии безопасности не изменилось.
Итог
Поскольку мы не просто даем доступ к приложению, а даем доступ с безопасно настроенного компьютера, то это уменьшает возможности для злоумышленника использовать ноутбуки и мобильные устройства, которые находятся вне сети компании как хост для прыжка внутрь вашей сети. Вы гарантируете, что в вашу сеть попадают только мобильные сотрудники, у которых есть, настроена и правильно функционирует хостовая защита. Также HIP работает и внутри сети, дополняя другие технологии защиты.
Существует постоянная угроза, что сотрудник отключит какое-то обновление. Существуют также компьютеры в сети, которые в питание не включали полгода. И когда такие компьютеры включаются в сеть, то естественно открыты для всех угроз, которые накопились с момента последнего обновления. Чтобы предотвратить вход в сеть хостов, которые не содержат ваших требований по безопасности, вы можете заставить людей сначала провести обновление, и лишь потом дать доступ в сеть.
Например, ниже проверка, что на рабочей станции установлен антивирус Касперского, и у него базы были обновлены минимум день назад и сканирование производилось минимум день назад. Включите эти проверки и переведите защищенность сети на новый уровень.
Краткая демонстрация настройки и работы HIP