Teszt: pendrive-ba zárt virtualizáció

Napjainkban a határvédelmi eszközök egész tárházával lehet találkozni a piacon, amelyekből komoly védelmi arzenálok építhetők ki. Ezért aztán már nem igazán az jelenti gondot, hogy nincsenek megfelelő eszközök a vállalati infrastruktúrák külső fenyegetettségektől való megóvásához. Sokkal gyakrabban merül fel problémaként, hogy az informatikai rendszereknek egyre inkább kezdenek eltünedezni a zárt határai. Ennek leginkább az az oka, hogy a szervezetek közötti elektronikus kapcsolatok, valamint a mobil és a távoli munkavégzés elkezdte átrajzolni az IT-infrastruktúrákat, amit nyilvánvalóan a biztonsági megoldásoknak is követniük kell. A védelmi megoldások fejlesztői folyamatosan újabb és újabb termékekkel rukkolnak elő annak érdekében, hogy a mobilitásnak a határvédelem ne szabjon gátat, ugyanakkor megfelelő hozzáférés-szabályozás és kontrollok mellett lehessen fenntartani a biztonságot. Az utóbbi időszakban piacra került, ilyen jellegű megoldások közül kétségtelenül az egyik legérdekesebb a Check Point Abra.

Mi is az Abra?

Az idei IDC IT Security Roadshow-nak is az egyik meglepetése az Abra volt. Amikor ugyanis Csósza László a Check Point képviseletében bemutatta a kis eszközt, akkor a közönség igencsak komoly érdeklődést mutatott. Mindez két dolgot jelentett. Egyrészt, hogy a távoli munkavégzés és a hordozható iroda gondolatával egyre többen kezdenek el foglalkozni, másrészt a Check Point jól közelítette meg a valós igényéket. De vajon a megvalósításba sem csúszott hiba? Erre voltunk kíváncsiak akkor, amikor a Check Point magyarországi képviselete által rendelkezésünkre bocsátott Abra-t a kezünkbe vettük, majd elkezdtük kipróbálni az általa nyújtott szolgáltatásokat.

Az Abra tulajdonképpen egy olyan, pendrive-ra hasonlító eszköz, amely bármilyen Windows alapú számítógépen egy biztonságos munkakörnyezetet teremt VPN és virtualizációs technológiák alkalmazásával. A hardveres és szoftveres titkosítással is felvértezett eszköz által létrehozott környezetben minden biztonsági szempontból releváns tevékenység központi házirendek segítségével korlátozható. Az USB-s eszköz használatához megfelelőségi ellenőrzések is előírhatók, amelyek segítségével vállalati hálózatokat fenyegető kockázati tényezők küszöbölhetők ki. Mindezeken túl a virtualizációs technológia izolálja az Abra munkafolyamatait a hoszt PC-től. A fájlátvitel ellenőrzésének köszönhetően csak a biztonsági előírások betartásával lehetséges az egyéni és a vállalati munkakörnyezetek közötti fájlcsere.

Az Abra tulajdonképpen egy SanDisk technológiákkal készülő pendrive-ra épül. 256 bites AES-titkosítással védi a rajta tárolt fájlokat, adatokat. Jelenleg 4-8 gigabájt kapacitású változatokban készül, de nyilvánvalóan a későbbiekben több adat tárolására képes típusok is megjelennek majd. Az Abra megfelel a FIPS 140-2 előírásoknak, és kompatibilis a Windows XP, a Windows Vista és a Windows 7 operációs rendszerekkel.

Az első lépések

Az Abra kliensoldali telepítése és használatba vétele semmiféle nehézséget nem tartogat. A PC-hez való csatlakoztatást követően - egy új eszköz esetében - megjelenik egy varázsló, amely végigvezeti a felhasználót a kezdeti beállításokon. Ennek során tulajdonképpen csak egy jelszót kell megadni, amely a későbbiekben az eszközhöz való hozzáférést teszi lehetővé. Amint a varázsló végez a pendrive inicializálásával a Sajátgépből válik elindíthatóvá az Abra környezet. A helyes jelszó megadását követően (amit akár a billentyűzetfigyelő kémprogramok kockázatainak kiküszöbölésére szolgáló virtuális billentyűzetről is meg lehet tenni) betöltődik egy virtuális rendszer, amely központi beállítástól függően kisebb-nagyobb mértékben elszigetelten működik a hoszt számítógéptől. Ezáltal nemcsak egy olyan környezet válik elérhetővé, amelyet a hoszt rendszeren esetlegesen megtalálható vírusok és egyéb kártékony programok nem képesek veszélyeztetni, hanem (megfelelő beállítás mellett) az is biztosított, hogy a virtuális térben keletkező dokumentumokat ne lehessen észrevétlenül másolgatni, vagyis adatszivárgások megelőzésére is van lehetőség.

Alapvetően egy Windows felület tárul a felhasználó elé, amelyen azok az alkalmazások jelennek meg, amelyek engedélyezettek, vagy amelyek használatát az alapértelmezett policy lehetővé teszi. Attól függően, hogy a hoszt gépen milyen alkalmazások találhatók, az Abra által teremtett virtuális rendszerben különféle ikonok jelennek meg. Ebből a szempontból például az Office támogatott és használható. Alapesetben azonban például a parancssori ablak (cmd.exe) valamint a Feladatkezelő sem jeleníthető meg. A "gyári" házirend értelmében lehetőség van a virtuális gépen készült fájlok exportálására vagy a hoszt számítógépről történő fájlimportálására.

Központi menedzsment

Noha az Abra szerverek, átjárók és egyéb vállalati szintű eszközök nélkül is használható, az igazi képességeit akkor tudja megmutatni, amikor a háttérben Check Point által fejlesztett hálózatbiztonsági megoldások is rendelkezésre állnak. Az Abra ugyanis a legfontosabb feladatát akkor képes ellátni, amikor megfelelő VPN-kiszolgálóhoz tud csatlakozni. Ekkor az előbbiekben ismertetett, védett módon lehetőséget biztosít a vállalati erőforrások elérésére és használatba vételére.

Természetesen arra is kíváncsiak voltunk, hogy szerveroldalon milyen lehetőségek kínálkoznak az Abra menedzselésére. Ezért VMware Server segítségével létrehozott virtuális számítógépen feltelepítettünk egy SecurePlatform (R71) környezetet, illetve egy PC-re egy SmartConsole R71 kliens programot. Ez utóbbinak része a SmartDashboard alkalmazás, amellyel tulajdonképpen minden fontos beállítás elvégezhető. Amennyiben egy vállalatnál ezek a megoldások már működnek, akkor az Abra még könnyebben válik bevezethetővé.

A nagyításhoz kattintson a képekre!

Az Abra működését illetően a legfontosabb, hogy legyen egy olyan Check Point átjáró, amelyen keresztül VPN-alapú (IPsec) kapcsolatkiépítésre lehetőség nyílik. Amennyiben ez rendelkezésre áll, akkor az Abra működése a SmartDashboard Global Properties vagy Abra Properties menüpontjaiból elérhető beállítási lehetőségeivel szabható testre. A globális konfiguráció révén olyan paraméterek szabályozhatók, amelyek az Abra hálózatkezelésével és használatával függnek össze. Így például lehetőség van hozzáférés-szabályozásra, amelyek segítségével a vírus- és kémprogram védelemmel kapcsolatban határozhatók meg alapvető követelmények. Emellett mód van a helyfüggő kapcsolatkiépítésre, a hálózati forgalom útvonalának megválasztására és a tanúsítványalapú hitelesítések engedélyezésére. A Secure Workspace Policy ablakban további finomhangolásokat lehet tenni azzal kapcsolatban, hogy a felhasználó a munkavégzése során milyen funkciókat érhet el, milyen alkalmazásokat használhat, és a kliens tűzfalon milyen szabályok kerülnek érvényesítésre. Az adatszivárgások megelőzése érdekében megtehető védelmi beállítások is itt találhatók. Mindezek mellett letiltható a fájlok másolása a hoszt számítógépre, és a nyomtatások megregulázására is van mód.

Vissza a klienshez

A felhasználó a szerveroldalon kialakított környezetnek megfelelően egy varázsló segítségével tud csatlakozni a vállalati hálózathoz anélkül, hogy a számítógépére bármilyen programot és VPN-klienst kellene telepítenie. Ezt követően pedig a jogosultságainak függvényében minden szerverhez, rendszerhez és állományhoz hozzáférhet.  Amennyiben elfelejtené az Abra jelszavát, akkor sincs semmi veszve, ugyanis a SmartConsole újabb verziói tartalmaznak egy Abra Password Reset nevű eszközt. Ennek segítségével, illetve az Abra által kliensoldalon generált azonosító alapján egy feloldókód képezhető, amellyel a pendrive zárolása megszüntethető.

Az Abra egy ötletes eszköz, amely a mindennapokban többek között a távoli munkavégzést képes megkönnyíteni, illetve biztonságosabbá tenni. Azonban ez a speciális pendrive csak akkor tud igazán kibontakozni, ha mögötte meghúzódik egy megfelelően konfigurált, Check Point megoldásokra épülő környezet, amely képes az Abra kiszolgálására, és annak házirendek szerint történő kezelésére. Noha a szerveroldalon még rengeteg fejlesztési lehetőséget tartogat az Abra (például az előbbiekben említett beállítási lehetőségek kiegészítésével), alapvetően jelenleg is rendelkezik minden olyan fontosabb funkcióval, amelyek révén a különféle fenyegetettségek kockázatait a vállalati informatikai infrastruktúrák határain kívül is képes csökkenteni.