Mějte firemní počítače plně pod kontrolou i v režimu home office

S rozmachem tzv. home office vyvstává jedna zásadní otázka – co se děje s počítači, které jsou mimo kancelář? Ne, že by tato otázka nebyla aktuální již dříve, ale přeci jen masový nárůst množství lidí, kteří pracují z domova a využívají firemní zařízení, je významný a otázka nabývá na intenzitě. Počítač má dnes několik možností, jak se „nakazit“. Kromě otevření mailu s přílohou, to často bývají i webové stránky s nepatřičným obsahem. A jakmile je počítač infikovaný, může se nákaza šířit. Cílem je tedy dát uživatelům co nejméně příležitostí počítač nakazit tím, že aktivně předejdeme připojení na nepatřičné stránky. Možností, jak zabezpečit firemní počítače, je více. Představte si dva možné scénáře: První scénář – uživatel má k dispozici firemní počítač, který používá pro práci; pokud chce pracovat, musí navázat VPN připojení, ale pokud není VPN připojení aktivní, má uživatel otevřený přístup do Internetu. Druhý scénář – firemní počítač, pokud je zapnutý a připojený do Internetu, je vždy pod kontrolou, protože je vždy připojen do firemní sítě.

První scénář

V prvním scénáři je vhodné řešit omezení toho, kam se uživatel připojuje, pokud není připojen do firemní sítě. Toto je řešitelné některou z komponent typu endpoint protection. Např. Sophos EndPoint klient, který mimo jiné ochranné funkce řeší i přístup k webům na základě kategorií a umožňuje tak blokovat nevhodné stránky (sex, extremismus, ilegální nakládání s autorskými díly – warez apod.).

Jak zjistíte, zda máte omezení připojení k Internetu?

Jednoduše – bez VPN připojení zkuste otevřít nějakou webovou stránku s nevhodným obsahem. Pokud se na stránku dostanete, zabezpečení neexistuje a fandíme vašemu IT správci, aby mu optimismus vydržel dlouhodobě.

Druhý scénář

Druhým možným scénářem je použití jednodušších ochranných komponent na počítači (tedy bez ochrany přístupu k web stránkám), ale zajištění toho, že počítač je vždy připojen do firemní sítě a kontrolu přístupů zajišťují centralizované prostředky typu proxy nebo firewall nové generace. Velmi pěkné řešení má Cisco na produktech ASA a AnyConnect VPN client.

Na čem je to založeno a jakým způsobem se to chová?

Řešení je založeno na existenci dvou VPN profilů na počítači. První VPN profil je pro tzv. management připojení – tedy propojení pro zajištění správy počítače. Tento je aktivní v okamžiku, kdy je počítač připojen do Internetu, a není aktivní klientská VPN, tedy VPN připojená prostřednictvím klientského účtu. Toto má význam např. pro vzdálenou správu počítače – IT oddělení občas potřebuje provést nějakou změnu na počítači mimo pracovní dobu. Uživatel se odhlásí, nechá zapnutý počítač a jde od něj. IT oddělení jej má k dispozici. Druhý VPN profil je uživatelský, kterým se uživatel připojuje do firmy. V rámci připojení má k dispozici vše, co mu firemní pravidla umožňují. Pokud není aktivní management tunel nebo uživatel není připojen svým účtem, nedostane se počítač nikam. Ani do lokální sítě a ani do Internetu. Prostřednictvím oprávnění uživatele lze zajistit to, že uživatel není schopen tuto vlastnost zrušit nebo obejít. Počítač je tedy maximálně zabezpečen a s využitím vhodného software je plně pod správou firemního IT, aniž by u něj musel být přítomen uživatel. Chcete i ve vaší společnosti mít firemní počítače pod kontrolou? Neváhejte nás kontaktovat, se vším vám poradíme a pomůžeme k bezpečnému chodu všech
Autoři

Petr Odvárka

Senior System Specialist
Zobrazit detail