Одно из главных правил при переезде в облако – продумайте механизм защиты ваших данных
Компании часто сталкиваются с проблемой конфиденциальности данных, будь то внутренние данные компании или персональные данные клиентов. При работе сотрудники компании могут нарушить требования компании к конфиденциальности информации и совершить злонамеренные действия по хранению или распространению данных. Обычно, с такой проблемой могут столкнуться компании, которые осуществляют перенос работы сотрудников на Windows VPS – выделенный удаленный виртуальный или физический сервер, находящийся за пределами географического расположения офиса или рабочего пространства компании.
Выполняя перенос данных, важно обеспечить должный уровень безопасности, не подвергая утечке или угрозе потери важные данные, такие как информационные базы, документы или отчеты компании со стороны пользователей, которые могут нанести вред или ухудшить репутацию компании. Если же не принять соответствующие меры, то пользователи могут получить полный доступ к хранимой информации и воспользоваться имеющимся доступом в личных интересах, скопировав или удалив информацию, которая не была защищена.
Меры по защите информации при работе на удаленном сервере
Итак, рассмотрим примеры, каким образом пользователь может передать данные, доступ к которым он имеет, а также рассмотрим основные правила предоставления доступа пользователю к данным.
- Ограничение прав пользователя
- Разграничение доступа к файлам и папкам
- Закрыть буфер обмена
- Ограничить доступ к внешним ресурсам через сеть
- Тонкая настройка использования почты
По умолчанию обычный пользователь, без соответствующих прав не должен иметь возможность совершать административные действия на удаленном сервере, такие как установка программ, настройка доступа к файлам и папкам, включение или выключение сервера. Данные настройки выполняются при помощи стандартных средств администрирования Windows, в которых ограничиваются права пользователей до нужного уровня
Базовый критерий безопасности, при котором доступ к определенным файлам, папкам или базам предоставляется выборочно и тонко настраивается. В рамках данных настроек можно ограничить доступ пользователя к информации, которую видеть, удалять или редактировать он не должен. Здесь можно в качестве примера привести бухгалтерские отчеты и отчеты по продажам, доступ к которым должен быть у разных специалистов из разных подразделений, то есть менеджер из отдела продаж не должен иметь возможности видеть бухгалтерскую документацию компании (конечно, если бизнес-процессы внутри вашей компании не регламентируют обратного).
Данную проблему мы решили, отключив саму возможность переноса пользователем файлов между локальным и удаленным компьютером на уровне групповых политик сервера. Такой запрет можно выставить, как глобально – так для всех пользователей, так и провести тонкую настройку, оставив возможность копировать файлы между компьютерами определенным пользователям, но это требует более тонкой настройки
Права доступа пользователям настроили, возможность копирования файлов между компьютерами ограничили… Но тут возникает вопрос, а что делать, если пользователь решит воспользоваться внешними ресурсами? Например, пробросить сетевой диск или воспользоваться возможностями FTP-сервера.
Касательно проброса сетевого диска – так же, как и в предыдущем пункте, мы отключаем такую возможность на уровне групповых политик сервера, после чего никакие устройства хранения информации из вне не будут доступны при аренде удаленного сервера.
С возможностью FTP-серверов все немного сложнее. В рамках нашего кейса, мы специальным образом выставили ограничения на подключение к FTP-серверу с VDS на Windows. Все попытки подключения к FTP-серверу происходят только через принудительный запуск internet explorer (встроенный браузер Windows), а уже непосредственно к нему мы можем полностью запретить доступ пользователю, как и к другим программам, которые пользователь запускать не должен. Так же в рамках базовых настроек были закрыты стандартные порты, использующиеся для FTP-подключения
Из оставшихся вариантов по копированию данных у пользователя остаются только различные почтовые системы. Для того чтобы предотвратить утечку данных через почту мы можем выполнить следующие действия: закрыть соответствующие порты на сервере для отправки почты, полностью запретить пользователю выход в сеть на удаленном сервере (браузеры и др. программы), ограничили доступ к почтовым клиентам, при помощи которых можно совершить передачу данных.
Надежный поставщик облачных услуг = безопасность данных
Но не стоит забывать о еще одном важном факторе, который обеспечит безопасность ваших данных – выбор поставщика облачных решений. Компания IPWAY существует на рынке с начала 2011 года. Тогда мы начали формировать пакеты облачных услуг для компаний малого и среднего бизнеса. За короткий период времени специалисты IPWAY реализовали сотни проектных решений, создав для заказчиков корпоративные облачные инфраструктуры разного уровня сложности, но всегда обеспечивая должный уровень безопасности необходимый нашему клиенту.
Наш опыт поможет обеспечить необходимый уровень безопасности используя тонкие настройки при использовании Windows VDS, предотвратив потерю или утечку данных со стороны пользователей. Наша компания может заняться, как реализацией безопасного переноса данных, так и конечной настройкой сервера, в рамках которой будут предприняты меры по предотвращению утечки или потери данных со стороны сотрудников.