ロシアの尊敬されるエフゲニー・カスペルスキーとの最近のインタビューを聞いて、ほとんどの会社の従業員は間もなくインターネットにアクセスできなくなるという考えを表明しました、そして情報セキュリティのこの側面に関する彼の考えを表現することにしました。
ローカルネットワークとインターネットアクセスを完全に分離することは非常に正しく、多くのIT専門家によると、企業データを保護する唯一の方法です。 ただし、この方法は、その実装の大きなコストに加えて、別の非常に重大な欠点、つまりインターネットを使用する不便さを抱えています。 インターネットへの快適なアクセスの欠如は、従業員の効率の低下という形での直接的な損失だけでなく、従業員の忠誠心の低下や仕事の名声などの間接的な損失も伴い、これは会社のコストの増加の直接的な理由です。
このようなネットワークの典型的な図は次のようになります。
このスキームは、ジョブをインターネットから完全に分離し、たとえトロイの木馬が従業員のコンピューターに侵入しても、盗まれた情報をインターネットに転送することはできません。 また、このようなスキームに従って構築されたネットワークは、会社の従業員がインターネットを介して機密情報を不正に配布することを防ぎます。
しかし、すべてのセキュリティでは、このスキームには重大な欠点があります-これは柔軟性と快適な操作の欠如です。なぜなら、従業員はインターネットにまったくアクセスできないか、別のマシンに持っているからです。
これらの問題を解決し、従業員が完全に作業できるようにするために、アプリケーション仮想化という形で興味深いソリューションがあります。MicrosoftはこのテクノロジーをApp-Vと呼んでいます。
Microsoft Application Virtualization(App-V)テクノロジを使用すると、ユーザーのコンピューターにプログラムを直接インストールしなくても、ユーザーのコンピューターでプログラムを利用できるようにすることができます。 アプリケーション仮想化と呼ばれるプロセスのおかげで、各アプリケーションは、クライアントコンピューター上の独自のスタンドアロン仮想環境で実行できます。 仮想化されたアプリケーションは互いに分離されています。 これにより、アプリケーション間の競合は回避されますが、クライアントコンピューターと対話できます 。
これは次のように行われます。DMZでは、インターネットトラフィックを許可するターミナルサーバーをインストールし、インターネットブラウザーを仮想アプリケーションとして構成し、バッファーの使用とRDPを介したローカルリソースの使用を禁止します。 また、DMZにリモートデスクトップゲートウェイを設定し、会社のネットワークからhttps経由でアクセスできるようにします。
おおよそのスキーム:
したがって、結果として何が得られますか:
インターネットによって内部ネットワークから隔離された会社のユーザーは、RDGサービスの内部Webページにアクセスします。RDGサービスは、インターネットブラウザーを公開するか、RDPファイルを起動します。
認証後、十分な権限がある場合、ユーザーはブラウザを起動します。ブラウザの操作は、ローカルマシンのブラウザと区別できません。 実際には、ブラウザはターミナルサーバー上で動作し、ユーザーコンピューターまたはローカルネットワークの他のリソースにアクセスすることなく、モニターに情報を表示し、キーボードとマウスからコマンドを受信するだけです。 このように、非常に快適な作業で、ブラウザーはコンピューターおよびインターネットにアクセスできる内部ネットワークから完全に分離されます。
記事のリンク:
アプリケーションの仮想化
リモートデスクトップゲートウェイ
よろしく、 Servilon.ru チームServilon.com