|
Oprócz zabezpieczania kluczowych danych na serwerach przed dostępem osób niepowołanych, ważnym, często pomijanym, czynnikiem w polityce bezpieczeństwa firmy jest zabezpieczenie przed nieautoryzowanym wyniesieniem danych. Polityka dostępu do danych i świadomość administratorów w tej kwestii jest dość wysoka. Tematyka utraty ważnych i poufnych danych poprzez pracowników jest dość nowym zagadnieniem. Przyjęło się że pracownik jest zawsze osobą zaufaną i lojalną wobec firmy. Dotyczy to na pewno sposobu współpracy międzyludzkiej, jednak w tematyce zagadnień IT jest to jedno ze słabych ogniw.
Często pracownicy posiadający dostęp do jakiegoś zasobu sieciowego (np. plików) mogą skopiować dane na swój dysk twardy w komputerze. Taka praktyka jest często stosowana np. w przypadku centralnego zasobu sieciowego i pracowników pracujących w zdalnych lokalizacjach. Dla takich użytkowników dostęp do danych za pomocą łączy WAN jest zbyt długi - dlatego upraszczają sobie prace kopiując dane na swój dysk i po naniesieniu zmian przegrywają plik z powrotem. Mamy tutaj do czynienia ze świadomym kopiowaniem danych w celu zwiększenia efektywności pracy. Możemy ułatwić takim pracownikom pracę stosując serwery lokalne, ale zwiększa to koszt zarządzania poprzez zakup samego sprzętu oraz zabezpieczenie samej serwerowni i danych w niej. Oprócz tego komplikuje to prace administratorów, którzy muszą również dbać o zasoby nie znajdujące się w centralnej lokalizacji. Zwiększa to ryzyko popełnienia błędu w konfiguracji zabezpieczeń. Zwiększając zatem wydajność i efektywność obniżamy bezpieczeństwo systemu i zwiększamy koszty jego obsługi.
Oczywiście nadal problem utraty danych poprzez kopiowanie ich na np. pamięć USB (pendrive, dysk zewnętrzny) pozostał nierozwiązany. Wyobraźmy sobie niezadowolonego pracownika, który ma zamiar odejść z naszej firmy do konkurencji. Zaczyna on wcześniej kopiować dane, albo z centralnej lokalizacji, albo ze swojego dysku twardego na pamięć zewnętrzną. Wychwycenie takiego działania jest bardzo trudne, a w przypadku większej ilości pracowników wręcz niemożliwe. Rozwiązaniem tego może być praca zdalna na wirtualnym pulpicie. Najprostszym sposobem jest wgranie na komputery lokalne samego systemu operacyjnego oraz ograniczenie ilości programów tylko do uruchomienia sesji pulpitu zdalnego. W mniejszych firmach może to być dość skuteczne rozwiązanie, natomiast nadal musimy kontrolować dostęp do pamięci USB tak, aby użytkownik nie mógł np. zrobić Print Screen’a ekranu zdalnego z danymi kluczowych kontrahentów.
Oczywiście istnieje szereg programów które zabezpieczą nas przed tym, jednak znowu pojawiają się kwestie finansowe. Jeśli już mamy dokonywać zakupu, dlaczego nie zainwestować pieniędzy w rozwiązanie, które będzie łatwiejsze w zarządzaniu oraz skuteczniejsze w zabezpieczeniu danych? Wyeliminujmy więc w ogóle komputery biurkowe. Zastąpmy je terminalami. Brzmi to jak powrót do przeszłości i czasy terminali z trybem tekstowym np. w bankach? Wręcz przeciwnie, rozwiązania te są stale udoskonalane i przystosowane do zwiększania bezpieczeństwa informacji. W najprostszym przypadku posiadają złącze RJ-45 do komunikacji z siecią, 2 lub więcej złącz USB do podłączenia klawiatury i myszki, oraz złącze do monitora ekranowego (VGA lub DVI). Terminal ten łączy się albo z dedykowanym komputerem, który znajduje się w centralnej serwerowni, albo z wirtualnym komputerem zainstalowanym na serwerze. Wybór konkretnego rozwiązania zależy od wymagań firmy. Jeśli użytkownicy pracują tylko na programach finansowych, sprzedażowych, poczcie korporacyjnej albo pakietach biurowych, wirtualizacja systemu jest idealnym rozwiązaniem. Upraszcza nam zarządzanie oprogramowaniem na takim wirtualnym systemie w prosty sposób: przygotowujemy obraz maszyny źródłowej i klonujemy go na nasze wirtualne maszyny. Jeśli zapobiegniemy wgrywaniu danych da wirtualny system (modyfikacji go przez użytkownika), to w ten sposób możemy szybko aktualizować oprogramowanie. Wyobraźmy sobie sytuacje migracji pakietu biurowego - wystarczy tylko na 1 wirtualnym systemie zainstalować nowszą wersję i następnie sklonować na pozostałe np. 100. Oszczędność czasu jest od razu widoczna. A co z sytuacją, w której pracownicy potrzebują dużej mocy obliczeniowej i np. wydajnej karty graficznej do obróbki multimediów. Tutaj należy zastanowić się nad wyborem innego rozwiązania terminalowego, a mianowicie w serwerowni zamontować serwery-komputery w obudowie Blade. W zależności od dostawcy możemy w klatkę 9U zmieścić 14 komputerów wyposażonych w wydajną kartę graficzną np. NVidia’e. Przesyłaniem obrazu do terminali zajmuje się dedykowany wydajny procesor, który oczywiście wspiera kompresję. Przy takim rozwiązaniu nasze komputery wraz z danymi są bezpieczne w serwerowni. Każdy z terminali umożliwia zablokowanie portów USB albo dla danego systemu masowego (pendrive, dyski zewnętrzne). Rozwiązania terminalowe w szczególności idealnie nadają się do małych, zdalnych biur, w których pracuje około 5-10 osób. Nawet, gdy w skrajnym przypadku dojdzie do włamania do takiego biura, to kradzież terminala nie oznacza utraty danych. Prostsze również jest zarządzanie.
|