ローカルネットワークとインターネットアクセスを完全に分離することは非常に正しく、多くのIT専門家によると、企業データを保護する唯一の方法です。 ただし、この方法は、その実装の大きなコストに加えて、別の非常に重大な欠点、つまりインターネットを使用する不便さを抱えています。 インターネットへの快適なアクセスの欠如は、従業員の効率の低下という形での直接的な損失だけでなく、従業員の忠誠心の低下や仕事の名声などの間接的な損失も伴い、これは会社のコストの増加の直接的な理由です。
このようなネットワークの典型的な図は次のようになります。
このスキームは、ジョブをインターネットから完全に分離し、たとえトロイの木馬が従業員のコンピューターに侵入しても、盗まれた情報をインターネットに転送することはできません。 また、このようなスキームに従って構築されたネットワークは、会社の従業員がインターネットを介して機密情報を不正に配布することを防ぎます。
しかし、すべてのセキュリティでは、このスキームには重大な欠点があります-これは柔軟性と快適な操作の欠如です。なぜなら、従業員はインターネットにまったくアクセスできないか、別のマシンに持っているからです。
これらの問題を解決し、従業員が完全に作業できるようにするために、アプリケーション仮想化という形で興味深いソリューションがあります。MicrosoftはこのテクノロジーをApp-Vと呼んでいます。
Microsoft Application Virtualization(App-V)テクノロジを使用すると、ユーザーのコンピューターにプログラムを直接インストールしなくても、ユーザーのコンピューターでプログラムを利用できるようにすることができます。 アプリケーション仮想化と呼ばれるプロセスのおかげで、各アプリケーションは、クライアントコンピューター上の独自のスタンドアロン仮想環境で実行できます。 仮想化されたアプリケーションは互いに分離されています。 これにより、アプリケーション間の競合は回避されますが、クライアントコンピューターと対話できます 。
これは次のように行われます。DMZでは、インターネットトラフィックを許可するターミナルサーバーをインストールし、インターネットブラウザーを仮想アプリケーションとして構成し、バッファーの使用とRDPを介したローカルリソースの使用を禁止します。 また、DMZにリモートデスクトップゲートウェイを設定し、会社のネットワークからhttps経由でアクセスできるようにします。
おおよそのスキーム:
したがって、結果として何が得られますか:
インターネットによって内部ネットワークから隔離された会社のユーザーは、RDGサービスの内部Webページにアクセスします。RDGサービスは、インターネットブラウザーを公開するか、RDPファイルを起動します。
認証後、十分な権限がある場合、ユーザーはブラウザを起動します。ブラウザの操作は、ローカルマシンのブラウザと区別できません。 実際には、ブラウザはターミナルサーバー上で動作し、ユーザーコンピューターまたはローカルネットワークの他のリソースにアクセスすることなく、モニターに情報を表示し、キーボードとマウスからコマンドを受信するだけです。 このように、非常に快適な作業で、ブラウザーはコンピューターおよびインターネットにアクセスできる内部ネットワークから完全に分離されます。
記事のリンク:
アプリケーションの仮想化
リモートデスクトップゲートウェイ
よろしく、 Servilon.ru チームServilon.com