Статьи
Ноябрь 2014
Безопасный и контролируемый файлообмен. Часть 2
Совсем недавно в хорошо известной системе хранения и обмена файлами Dropbox была обнаружена (и уже исправлена) уязвимость, связанная с безвозвратной потерей файлов у некоторых пользователей. К сожалению, это еще не все. Позже в сети появилась информация о компрометации учетных данных пользователей. Причем сама компания заявляет об отсутствии атак, проводимых на систему с целью кражи данных. Кто знает, что будет дальше. В любом случае, все это является достаточно неприятным инцидентом, особенно для компаний, использующих подобные Dropbox системы, для решения задач бизнеса.
Очевидно, что обмен файлами является одной из ключевых задач современной компании. Объем передаваемой информации постоянно увеличивается. Это требует от компании реализации эффективных бизнес-процессов по работе с ней. Кроме этого, информация, как правило, разделяется на категории, некоторые из которых запрещают ее передачу в явном виде по каналам связи, что приводит к необходимости ее защиты от онлайн-угроз (таких, как получение несанкционированного доступа, неправомерная модификация…).
Реализация способов защиты может основываться на различных механизмах, как например, шифрование данных и канала связи, усиленные методы аутентификации и пр. Зачастую нынешние «облачные» сервисы имеют инструментарий для построения защищенного файлообмена, но его функциональные возможности достаточно ограничены. Во-первых, методы аутентификации в большинстве случаев используются стандартные: либо базовый (логин/пароль), либо расширенный за счет дополнительного использования SMS, что не всегда коррелирует с политикой безопасности компании. Во-вторых, шифрование реализуется на основе зарубежных стандартов без возможности использования отечественных алгоритмов, что также может стать очередным стоп-фактором. В-третьих, возникает вопрос о «тотальном контроле» передаваемых файлов внутри организации. Более того, нет никаких гарантий, что сам сервис-провайдер не станет просматривать отправляемые клиентами документы (а он, скорее всего, станет в виду «благих намерений», определенных в соответствующей политике конфиденциальности).
Как ни странно, но даже в такой ситуации выход есть. Для начала, как минимум, необходимо отказаться от хранения информации в публичном облаке и развернуть систему файлообмена внутри собственной ИТ-среды, что уже имеет ряд существенных преимуществ. Это еще, конечно же, не все. Плюс ко всему, необходимо учитывать один немаловажный фактор – удобство пользователя при работе с сервисом или системой. Очень часто решения с огромным количеством функций сложны в эксплуатации для конечного пользователя, а простые – имеют минимальный функционал. Поэтому необходим баланс между функциями системы и простотой/наглядностью их использования.
Суммируя все выше описанное, можно предъявить следующие требования к системе файлообмена:
- Система должна передавать большие файлы различного типа (для этого она, собственно, и предназначена)
- Система должна устанавливаться локально и обеспечивать различными механизмами защиты, включая расширенные методы аутентификации, способы шифрования
- Система должна обладать простым и удобным в использовании интерфейсом
- Система должна предоставлять возможности контроля и аудита
Отдельно нужно учитывать то, что формируемые изначально требования к процессу файлообмена и механизмам его защиты могут претерпевать изменения наравне с политиками организации в условиях ее плановых изменений. Именно поэтому система файлообмена должна не только гибко настраиваться в соответствии с корпоративными политиками, но и быстро адаптироваться к новым условиям.
К счастью, многие компании уже задумываются об использовании подобных систем для построения эффективного и защищенного файлообмена. Более того, такие системы уже давно появились на рынке и представляют собой промышленные решения, ориентированные на различные сферы и размер бизнеса. Эти системы носят название Managed File Transfer (MFT). В этой статье было дано достаточно подробное описание характеристик MFT и их преимуществ по отношению к традиционным решениям и общедоступным файлообменникам. Поэтому остается добавить только немного о том, что говорят крупные исследовательские организации.
Весьма известная компания, проводящая различные тематические исследования, Gartner в 2012 году выпустила отчет, касающийся темы файлообмена. Иными словами, отчет посвящен решениям Managed File Transfer. Резюмируя изложенное в документе можно отметить, что спрос на использование подобных решений возрастает, в связи с увеличением объема передаваемой информации и, соответственно, требований к самой системе передачи этого объема. Ниже приведена выдержка из отчета:
«Несмотря на удобство, электронная почта никогда не предназначалась для управления вложениями большого размера. Большинство почтовых систем ограничены 10 МБ, что заставляет пользователей отправлять файлы через неавторизованные сервисы (например, DropBox). Эти альтернативы не просто не безопасны, но и не выгодны экономически. Отсутствие централизованного управления и функций аудита в сочетании с хранением писем приводит к тому, что организации все-таки используют электронную почту как метод передачи файлов.
Использование мобильных сервисов обеспечивает пользователей продуктивной работой. Однако могут возникнуть непредвиденные последствия, если конфиденциальная информация отправляется через публичное облако. Ограничение доступа к таким сервисам заставит пользователей искать другие способы файлообмена и пути взаимодействия. Ответ заключается в использовании функций безопасности и управления, которыми обеспечивает MFT, и реализации проверенного решения…»
Таким образом, даже Gartner отмечает риски, связанные с использованием тех или иных решений.