Как создать защищённое окружение для мобильной работы сотрудников

События последних нескольких лет, а если делать более глубокий срез, то фактически можно сказать и текущего десятилетия, показали, как важно обеспечить защиту при удалённой работе персонала.

ИТ-инфраструктура в начале 2010-ых предполагала, что большинство людей находится в офисах и только некоторые, в основном топ-менеджеры и специалисты, занятые в «полях», могут дистанционно подключаться к ресурсам компании. Это можно было делать с корпоративных устройств, которые настраивали специалисты по ИТ и ИБ. Однако с активным развитием и расширением каналов передачи данных, с появлением смартфонов, планшетов, лёгких ноутбуков и т.д. количество тех, кто хотел бы получить возможность работать удалённо, росло. В ответ на эти запросы стали появляться новые классы решений, например, MDM, MAM и UEM. Они позволяют интегрировать личные мобильные устройства в корпоративную среду и защищать информацию, которую на них хранят и обрабатывают.

Вместе с тем активно шла централизация ИТ-решений: всё чаще пользователям требовалось удалённо работать из публичных сетей. С наступлением пандемии практически все организации были вынуждены перевести штат на работу из дома, и актуальность создания защищённого окружения, особенно для тех, кто не пользуется корпоративными устройствами, вышла на передний план. Дальнейшие события ещё больше подтвердили, что удалёнка – это всерьёз и надолго. Так, последний опрос общественного мнения, проведённый ВЦИОМ в марте 2025, показал: 25% россиян работают из дома постоянно или частично. Более того, для соискателей возможность дистанционной работы – серьёзное конкурентное преимущество работодателя.

Учитывая всё это, у ИТ- и ИБ-подразделений компаний, где разрешена удалённая работа, есть важная задача: обеспечить защищённую среду для таких сотрудников. Давайте посмотрим, какие технологии можно и нужно использовать для её решения.

Для начала нужно быть уверенным, что ОС на клиентском устройстве защищённая, и на него регулярно устанавливают обновления, устраняющие обнаруженные уязвимости. Это идеальный вариант, однако, далеко не все девайсы для него подходят. Поэтому следующий шаг на пути построения безопасного окружения – это или сделать так, чтобы на клиентском устройстве данных и возможности их локально сохранять вообще не было, или размещать эту информацию в изолированном защищённом контейнере, который при необходимости можно дистанционно очистить или удалить по команде администратора.

Это приводит к необходимости использовать такие классы продуктов как UEM (Unified Endpoint Management) и виртуализация рабочих мест (ВРМ). Первые умеют отслеживать устройства, с которых работает человек, а вторые дают возможность удалённо подключаться к ресурсам, находящимся в ЦОДе организации или облаке сервис-провайдера. Администратор ВРМ может с помощью централизованных политик управлять возможностями обмена данными между пользовательским устройством и ресурсами компании. В идеале на конечном устройстве надо только установить программу-клиент для подключения к ВРМ.

Системы управления корпоративной мобильностью могут распространять на девайсы пользователей, в том числе и мобильные, необходимое для работы локальное ПО или клиентскую часть, отвечающую за связь с ИТ-инфраструктурой организации. Данные, которые хранятся на устройстве, чтобы можно было работать даже без доступа к сети, размещаются в «песочнице». Она зашифрована, а если понадобится, её можно удалённо очистить или убрать с клиентского устройства.

Часто такой же защищённый контейнер бывает в корпоративных файлообменниках. Если нет соединения с сетью, можно работать с локальной копией данных из зашифрованного хранилища, а когда доступ к сети появляется, происходит синхронизация. Таким образом, при пропаже устройства компания может удалённо очистить хранилище, и будет потеряна только небольшая (не синхронизированная) часть информации.

Затем нам нужно обеспечить безопасный обмен данными между устройством и корпоративными ресурсами. Для этого устанавливаем шлюз удалённого доступа, и он, с одной стороны, скрывает все внутренние ресурсы, а с другой, обеспечивает шифрование трафика между ЦОДом и клиентским смартфоном, планшетом и т.п. Наиболее продвинутые девайсы могут даже проверять содержимое передаваемых по сети пакетов.

Ещё один важный элемент инфраструктуры безопасного удалённого доступа – это многофакторная аутентификация. Все компоненты должны обязательно иметь возможность взаимной аутентификации и полагаться не только на пару имя пользователя/пароль, а поддерживать работу с одноразовыми паролями, сертификатами, смарт-картами или USB-токенами.

Это минимальный набор того, что понадобится для построения защищённого окружения. При необходимости его можно расширить: добавить антивирусное ПО, средства контроля за утечкой данных (DLP), решения для защиты привилегированных учётных записей (PAM) и инструменты для мониторинга удалённого доступа. Особенно интересны системы поведенческого анализа: по изменению шаблона действий пользователя они способны вычислить нарушителя, даже если правильно ввести логин и пароль. Главное – поддерживать баланс между затратами на защиту информации и стоимостью этой самой информации. Для этого рекомендуем перед развёртыванием любых ИТ- и ИБ-решений провести аудит инфраструктуры и проанализировать требования бизнеса и регулирующих органов.

Сергей Халяпин, директор по развитию новых рынков и технологических партнеров компании «Увеон – облачные технологии (разработчик VDI-решений Termidesk, входит в «Группу Астра»)