Сертификат AM Test Lab
Номер сертификата: 431
Дата выдачи: 10.10.2023
Срок действия: 10.10.2028
- Введение
- Функциональные возможности Aladdin LiveOffice
- Архитектура Aladdin LiveOffice
- Системные требования Aladdin LiveOffice
- Сценарии использования Aladdin LiveOffice
- Тестирование Aladdin LiveOffice
- Выводы
Введение
Несмотря на то что компании во всём мире говорили об удалённой работе не одно десятилетие, руководители не спешили переводить сотрудников на дистанционную занятость. Чаще всего это было связано с консервативными подходами и недоверием со стороны менеджмента к рядовому персоналу. Обычно удалённая работа предоставлялась топ-менеджерам или ключевым сотрудникам в качестве дополнительного бонуса к должности или как элемент поощрения, удержания носителя уникальных знаний и компетенций. Но в начале 2020 года произошли просто гигантские изменения и свой ИТ-ландшафт большинству компаний пришлось перестраивать просто «на лету». В связи с наступлением пандемии COVID-19 организации были вынуждены ограничить личное взаимодействие работников между собой и перевести большинство на «дистанционку». И в этот момент у многих компаний возникли разнообразные проблемы:
- отсутствие необходимого оборудования для ЦОДов (серверы, СХД, шлюзы доступа);
- противоречие между требованиями внутренних документов, правил и политик и необходимостью перевода сотрудников на дистанционную работу;
- риски несоответствия требованиям по информационной безопасности, предъявляемым со стороны регулирующих органов;
- отсутствие у организаций необходимого количества мобильных устройств (ноутбуков) для организации корпоративного удалённого доступа;
- «зоопарк» домашних устройств пользователей (BYOD) и невозможность применения политик безопасности к таким устройствам;
- необходимость быстрого развёртывания продукта.
Компании справлялись с вышеперечисленными проблемами по-разному: поиском и закупкой оставшихся на рынке серверов и СХД, изменением внутренних правил и процедур, массовыми закупками ноутбуков для пользователей переводимых на удалённую работу. Это хорошо было видно по данным о продажах ноутбуков в 2020 году, где объём в штуках превысил 3,1 млн единиц. Организации использовали различные варианты по обеспечению удалённого доступа: переходили на облачные продукты, развёртывали на своих площадках терминальные сервисы и / или VDI-решения, настраивали VPN-подключения к своей инфраструктуре. Большинство таких вариантов требовали времени и значительных инвестиций.
Продукт LiveOffice, о котором мы сегодня говорим, в этот момент позволил заказчикам осуществить перевод сотрудников на дистанционную работу быстро и с минимальными затратами. При этом, понимая требования заказчиков из государственных структур, банков, органов исполнительной власти, в конце 2020 года компания-производитель завершила работы по сертификации Aladdin LiveOffice и в феврале 2021 г. получила сертификат ФСТЭК России № 4355 по 4-му уровню доверия.
Одним из значимых проектов было внедрение Aladdin LiveOffice в Федеральной налоговой службе России, о чём канал AM Live подробно рассказывал во время большого прямого эфира с представителями ФСТЭК России, ФНС и компании-производителя. Этот проект продемонстрировал соответствие продукта требованиям государственных организаций в отношении решений обеспечивающих возможность удалённой работы через личные устройства пользователей.
В мае 2023 года ВОЗ объявила о завершении пандемии COVID-19, и этот факт, казалось бы, должен был снизить спрос на организацию удалённого доступа, однако за прошедшие три с половиной года пользователи и руководители привыкли к этой возможности, и даже государство в федеральном законе № 407-ФЗ приняло такие правила игры. Множество компаний различных форм собственности и сфер бизнеса стали активно использовать дистанционную работу наряду с другими вариантами организации труда.
С другой стороны, начиная с февраля 2022 года в нашей жизни произошли серьёзные изменения помимо пандемии. Многие регионы, и не только напрямую граничащие с территорией Украины, столкнулись с ударами по предприятиям и организациям, а также по обычным жителям. Это привело к передислокации некоторых предприятий, переводу сотрудников на работу из дома или их переезду в другие, более спокойные регионы с возможностью удалённого подключения к ресурсам компании. В Москве несколько атак пришлись на деловой центр столицы — район «Москва-сити». Здесь расположены офисы крупных банков, промышленных предприятий и несколько министерств. Для обеспечения непрерывной работы и снижения рисков для жизни людей и бизнеса компаний в таких условиях имеет смысл перевести сотрудников на удалённую занятость.
Всё это позволяет говорить об актуальности темы дистанционной работы в настоящее время, с учётом высоких требований к защите таких подключений.
Функциональные возможности Aladdin LiveOffice
У Aladdin LiveOffice есть основные и дополнительные функциональные возможности, в зависимости от индивидуализации под нужды определённых заказчиков.
К основным функциональным возможностям можно отнести следующие:
- Загрузка доверенной операционной системы для формирования защищённой среды исполнения.
- Идентификация и аутентификация пользователя.
- Защита канала передачи данных сертифицированных СКЗИ.
- Запись и хранение в защищённой области устройства ключевой информации и пользовательских данных.
- Подключение к инфраструктуре удалённых рабочих столов (VDI или терминальные сервисы).
Архитектура Aladdin LiveOffice
Конструктивно Aladdin LiveOffice представляет собой USB-накопитель (Aladdin LiveToken), внутри которого собран целый комплекс продуктов:
- Доверенная операционная система (на тестируемом устройстве была установлена РЕД ОС версии 7.3 «Муром»; существует вариант с ОС Astra Linux Special Edition версии 1.6 SE «Смоленск»), которая сертифицирована как минимум по 4-му уровню доверия. Внутри этой безопасной ОС устанавливается набор программного обеспечения, необходимого сотруднику для работы.
- Средство криптографической защиты информации (СКЗИ) для защиты данных передаваемых по каналу связи. В этой роли выступает клиент VPN / TLS. Aladdin LiveOffice протестирован с несколькими российскими продуктами, такими как ViPNet, «ЗАСТАВА» и другие.
- Средство администрирования Aladdin SecureAdmin.
- Программа Aladdin SecurLogon, представляющая собой средство подключения к удалённому рабочему столу (RDP-клиент).
- Карта памяти формата microSD (объёмом 6 или 32 ГБ), необходимая для хранения информации.
Память USB-накопителя разбивается на шесть разделов, которые нужны для работы Aladdin LiveOffice. Некоторые из них — служебные и не предназначены для доступа обычного пользователя, поэтому содержащаяся в них информация не отображается при подключении к обычному компьютеру.
Загрузочный раздел обеспечивает запуск операционной системы с этого устройства. Системный раздел хранит в себе доверенную ОС и предустановленные приложения, отображается только после загрузки. Защищённый пользовательский раздел предназначен для хранения пользовательской информации и также доступен только из доверенной ОС. Защищённый прикладной раздел используется для хранения настроек соединений, профилей VPN-клиентов, системных профилей; защищён аппаратным шифрованием и также доступен только в доверенной ОС. Служебный раздел нужен для хранения журналов событий по ИБ и не отображается.
Наконец, раздел «Info» предназначен для предоставления пользователю инструкций и другой полезной информации. На тестовом устройстве в этом разделе находилась инструкция «Быстрый старт» с описанием необходимых действий для проведения тестирования. Размер раздела составляет 8 ГБ. Пользователь может применять его также и для хранения файлов, которые откроются на любом компьютере.
Рисунок 1. Содержание раздела «Info» на тестовом устройстве Aladdin LiveOffice
Продукт имеет открытую архитектуру с возможностью расширения дополнительными модулями, которые могут потребоваться заказчику. Например, если компания-заказчик развернула у себя в инфраструктуре отечественное решение по организации виртуальных рабочих столов, для поддержки которого требуется установка агента или протокола, то компания-производитель или её партнёры могут добавить необходимый компонент или компоненты. Это позволяет оперативно и гибко реагировать на возникающие запросы со стороны пользователей.
Системные требования Aladdin LiveOffice
Со стороны пользователя системные требования для эксплуатации устройства Aladdin LiveOffice можно считать минимальными:
- Клиентское устройство (ПК, ноутбук) на базе процессора x64, за исключением совсем уж старых устройств с предшественниками семейств Pentium и AMD Athlon 64. Фактически это процессоры выпущенные более 20 лет назад. Также не поддерживается архитектура Itanium, но встретить такое устройство в качестве домашнего практически нереально.
- Монитор клиентского устройства должен поддерживать разрешение не хуже VGA (1024×768).
- Устройство должно иметь как минимум один свободный порт USB 2.0 (тип А).
- Объём ОЗУ — 4 ГБ и более.
- Устройство должно иметь возможность сетевого подключения с помощью LAN или Wi-Fi. Возможно использовать технологии 3G / 4G / LTE для сетевого подключения.
- В BIOS устройства должна быть возможность отключения технологии Secure Boot. Если используется технология UEFI, то необходимо перейти в режим «Legacy». Также в BIOS нужно установить высший приоритет загрузки с подключаемых USB-устройств.
Последний пункт с моей точки зрения является, пожалуй, самым проблематичным для обычного домашнего пользователя, так как требует внесения изменений в настройки BIOS.
Рисунок 2. Внешний вид тестового устройства Aladdin LiveOffice
Со стороны компании главное требование — настройка необходимых VPN-шлюзов и решения по виртуализации рабочих мест (VDI и / или терминальные сервисы).
Сценарии использования Aladdin LiveOffice
Можно описать большое количество таких сценариев в зависимости от имеющихся у компании-заказчика инфраструктурных решений, ограничений, требований в связи с обрабатываемой информацией, принадлежностью к той или иной сфере бизнеса или отрасли государственного управления.
Рассмотрим некоторые из них.
Удалённая работа на личных устройствах пользователей
В этом сценарии сотрудник организации получает возможность работы из дома, применяя своё личное домашнее устройство (подход BYOD — Bring Your Own Device). Теоретически, работник может подключиться со своего компьютера или ноутбука напрямую, не используя Aladdin LiveOffice, запустив или VPN-клиент, или клиентскую часть VDI. Однако при таком способе подключения существуют значительные риски попадания вредоносного кода в корпоративную инфраструктуру, утечки паролей и кодов доступа, утери конфиденциальных документов.
В первую очередь это связано с тем, что такое домашнее устройство используется разными членами семьи для работы с различным контентом, в том числе и для интернет-сёрфинга и взаимодействия с потенциально опасными ресурсами. Самое же главное — такой вариант подключения не будет соответствовать требованиям ФСТЭК России к средствам дистанционной работы. Используя Aladdin LiveOffice, организация получает возможность работать с ГИС до 1-го класса защищённости и ИСПДн до 1-го уровня защищённости без необходимости приобретать выделенное средство вычислительной техники.
Рисунок 3. Удалённая работа с домашнего ноутбука с помощью Aladdin LiveOffice
Пользователь берёт домашнее устройство, подключает в USB-порт Aladdin LiveOffice и загружает компьютер с его помощью. Запускается доверенная ОС, из которой строится VPN-туннель для подключения к корпоративным ресурсам или запускается клиент доступа к VDI. В результате пользователь может делить устройство с другими членами семьи, не ограничивая их в возможностях работы с компьютером.
Подключение контрактных сотрудников
Компании часто привлекают к проектам работников организаций-подрядчиков. Также это могут быть частные лица — фрилансеры. Таким сотрудникам-контрактникам необходимо обеспечить возможность работы с ресурсами компании, при этом не нарушая требований департаментов ИБ. Одним из самых экономичных и безопасных способов это сделать является предоставление контрактникам Aladdin LiveOffice для работы с их личных устройств или компьютеров организации-подрядчика. Для последней такой способ тоже является удобным, так как позволяет, с одной стороны, сократить время на командировки к заказчику, а с другой — использовать свою вычислительную технику на нескольких проектах у разных заказчиков, не нарушая требований безопасности каждого из них.
Рисунок 4. Удалённая работа контрактников с помощью Aladdin LiveOffice
Корпоративные мобильные компьютеры
Aladdin LiveOffice может также использоваться с корпоративными ноутбуками для мобильных пользователей или тех сотрудников, которые какое-то время вынуждены находиться вдали от своего обычного рабочего места. На любой площадке «мигрирующие сотрудники» всегда имеют под рукой своё устройство, а с помощью Aladdin LiveOffice они получают гарантированное безопасное подключение к корпоративному ЦОДу и своим корпоративным ресурсам. Если у компании есть на разных площадках «гостевые устройства», то их также можно задействовать, и тогда у мобильного сотрудника единственным устройством, которое придётся возить с собой, окажется небольшая флешка, открывающая возможность работы с корпоративными ресурсами.
Рисунок 5. Удалённая работа мобильного сотрудника с корпоративным ноутбуком и Aladdin LiveOffice
Общие корпоративные устройства (многосменная работа)
В тех случаях, когда сотрудники компании работают в несколько смен, можно организовать индивидуальную работу нескольких пользователей с одного корпоративного устройства, осуществляя с помощью Aladdin LiveOffice его загрузку или используя LiveOffice как средство двухфакторной аутентификации и хранения критически важных документов в защищённом разделе накопителя.
Рисунок 6. Работа сменных сотрудников на корпоративных устройствах с помощью Aladdin LiveOffice
Использование в качестве средства 2FA и цифровой подписи
Описанный в предыдущем сценарии вариант использования Aladdin LiveOffice может быть актуален для любых работников организации, которым необходима двухфакторная аутентификация и нужно подписывать документы электронной цифровой подписью независимо от местонахождения. Такой сотрудник может постоянно работать в центральном офисе и вообще не ассоциировать свою работу с дистанционностью или мобильностью.
Рисунок 7. Использование Aladdin LiveOffice для двухфакторной аутентификации и цифровой подписи
Таким образом, можно сказать, что сценарии применения Aladdin LiveOffice разнообразны. Если исходить из данных Росстата по трудоспособным гражданам и опираться на опросы ВЦИОМ, показывавшие, что во время пандемии COVID-19 вплоть до 20–25 % из них были вынуждены работать удалённо, то можно с хорошей долей уверенности предположить, что объём рынка для Aladdin LiveOffice может достигать 10 % от общего количества трудоспособного населения, то есть около 7,5 млн пользователей.
Тестирование Aladdin LiveOffice
Для проверки возможностей продукта компания-производитель предлагает демокомплект, который без развёртывания компонентов в инфраструктуре компании позволяет провести тестирование Aladdin LiveOffice и имеющихся у заказчика устройств.
На выбранном для тестирования устройстве необходимо войти в BIOS (в документации приведён список клавиш для этого на компьютерах различных производителей). В моём случае это был Intel NUC и для входа в BIOS требовалось нажать клавишу F2 до начала загрузки установленной ОС.
Рисунок 8. Вызов BIOS во время запуска компьютера
Попав в BIOS, необходимо перевести его в режим «Legacy» и установить порядок загрузки. Устройство Aladdin LiveOffice следует подключить к USB-порту до запуска компьютера.
Рисунок 9. Переключение режимов BIOS и установка порядка загрузки USB-устройств
Также в BIOS необходимо выключить Secure Boot, если он был включён, и после сохранения сделанных изменений перезагрузить ПК или ноутбук.
Рисунок 10. Отключение Secure Boot в BIOS
Если всё настроено правильно, то будет осуществляться загрузка с Aladdin LiveOffice и система попросит ввести пароль пользователя этого устройства.
Рисунок 11. Аутентификация пользователя в Aladdin LiveOffice при старте системы
Если компьютер ещё ни разу не использовался для запуска Aladdin LiveOffice, то система потребует его зарегистрировать. Для этого нужно передать администратору код регистрации и серийный номер.
На незарегистрированном устройстве невозможно загрузить доверенную среду и в дальнейшем осуществить подключение к корпоративным ресурсам. Таким образом, на этом этапе до запуска защищённой ОС мы аутентифицируем пользователя с помощью пароля к устройству и проверяем, что подключаемся с зарегистрированной машины. Ею также может быть и домашний компьютер.
Рисунок 12. Регистрация компьютера в Aladdin LiveOffice
В демосреде для получения ответного кода компания-производитель создала веб-страницу его генерации. К ней нужно будет обращаться с другого устройства (смартфон, планшет, другой компьютер). В реальном внедрении можно направлять пользователя в службу технической поддержки или к администраторам ИБ.
Рисунок 13. Получение ответного кода на сайте компании «Аладдин Р.Д.»
После получения ответного кода его понадобится ввести на регистрируемом компьютере.
Рисунок 14. Завершение регистрации компьютера в Aladdin LiveOffice
После завершения регистрации необходимо присвоить компьютеру имя для отслеживания его использования в журналах безопасности Aladdin LiveOffice.
Рисунок 15. Присвоение имени компьютеру после регистрации
После этого система проинформирует о количестве уже зарегистрированных компьютеров и оставшихся возможностей регистрации. На одно устройство Aladdin LiveOffice можно зарегистрировать три компьютера, с которых сотрудник сможет осуществлять защищённую удалённую работу.
Рисунок 16. Предупреждение о количестве зарегистрированных компьютеров в экземпляре Aladdin LiveOffice
Далее система загружает доверенную среду.
Рисунок 17. Рабочий стол защищённой ОС в Aladdin LiveOffice
Как видно, для устройства доступны интернет-соединение, VPN-туннель и RDP-подключение к корпоративным ресурсам.
Для запуска RDP-сессии необходимо щёлкнуть по соответствующей иконке в верхней левой части экрана. После этого система попросит ввести ПИН-код для разрешения удалённого подключения.
Рисунок 18. Запрос на ввод ПИН-кода для запуска RDP-сессии
После ввода правильного ПИН-кода мы попадаем на удалённый рабочий стол, где имеются необходимые приложения и сервисы.
Рисунок 19. Удалённый рабочий стол
Для смены ПИН-кодов в доверенной ОС используется утилита «Единый клиент JaCarta». Здесь также можно уточнить номер модели и серийный номер устройства.
Рисунок 20. Работа с «Единым клиентом JaCarta» в защищённой ОС Aladdin LiveOffice
Для проверки версий компонентов доверенной среды можно нажать в левом нижнем углу на надпись «LiveOS v.X.X.X.XXXX». На экран будет выведена информация о версиях компонентов и производителе VPN-клиента. В нашем случае это ViPNet от компании «ИнфоТеКС».
Рисунок 21. Версии компонентов в защищённой ОС Aladdin LiveOffice
Как уже упоминалось, на одно устройство Aladdin LiveOffice можно зарегистрировать только три компьютера для подключения к корпоративной среде. В случае если это количество будет превышено, пользователь получит предупреждение о невозможности регистрации нового компьютера.
Рисунок 22. Невозможность регистрации компьютера в Aladdin LiveOffice
Воспользовавшись встроенным меню Aladdin LiveOffice, можно получить список уже зарегистрированных компьютеров, включая дату их регистрации. При необходимости компьютеры удаляются из списка зарегистрированных, но для этого надо будет пройти операцию аналогичную регистрации, с подтверждением при помощи кода, полученного от администратора. Только после удаления одного из прежних компьютеров можно будет зарегистрировать для работы новый.
Рисунок 23. Список зарегистрированных компьютеров в экземпляре Aladdin LiveOffice
Выводы
Продукт Aladdin LiveOffice подходит различным организациям: как уже имеющим инфраструктуру для удалённой работы на базе решений VDI или терминального доступа, так и тем, у кого такая инфраструктура отсутствует.
Популярность удалённой работы в ряде практических сценариев растёт, и с учётом рисков для физической безопасности людей этот рост будет поддержан и со стороны менеджмента, особенно когда будет необходимо в целях защиты персонала принудительно переводить большую часть пользователей на работу из дома или других мест. При этом можно организовать комфортную работу на уже имеющемся у сотрудников домашнем оборудовании, а главное — обеспечить отвечающую всем требованиям регулирующих органов защиту подключений, данных и других корпоративных активов. Сотрудники смогут продолжать работу, даже если ИС организации являются элементами КИИ или государственными информационными системами. Пользователи будут вправе работать с ИСПДн, банковской или медицинской информацией. В процессе можно будет заверять документы цифровой подписью с использованием УКЭП.
В сравнении с другими вариантами организации удалённого доступа Aladdin LiveOffice выгодно отличается от продуктов других вендоров как по цене, так и по функциональности, особенно учитывая возможность интеграции с различными продуктами по виртуализации рабочих мест. Главным конкурентным преимуществом является тот факт, что Aladdin LiveOffice — единственный сертифицированный во ФСТЭК России продукт для обеспечения безопасной дистанционной работы.
Достоинства:
- Возможность организации безопасной удалённой работы.
- Практически полное отсутствие потребности в дополнительной инфраструктуре для организации удалённого доступа.
- Aladdin LiveOffice интегрируется с развёрнутой у заказчика инфраструктурой виртуальных рабочих столов и / или терминальных сервисов.
- Возможность автономной работы при отсутствии сетевого подключения к офисной инфраструктуре или при плохих условиях на каналах передачи данных.
- Возможность расширения функциональности продукта по запросу заказчика.
Недостатки:
- Отсутствует вариант устройства в формфакторе USB-C.
- Некоторые устройства не поддерживают работу с Aladdin LiveOffice: система не может загрузиться с предлагаемого USB-накопителя.
- Пользователю домашнего компьютера может быть трудно внести необходимые изменения в BIOS для возможности запуска защищённой среды удалённого доступа.
- В предлагаемом руководстве пользователя отсутствует информация по настройке BIOS для ноутбуков тех производителей, которые доступны сейчас на российском рынке.