Z internetu do nemocnice bezpečně a snadno Petr Hron, S.ICZ a.s. 2014 1
Z internetu do nemocnice bezpečně a snadno Identifikace problému Co je k tomu potřeba Bezpečný vzdálený přístup Bezpečnostní architektura Technologická architektura Využívané technologie Podpora pro mobilní zařízení Nabízené služby Přínos pro zákazníka 2
Identifikace problému Kde jsou informace se kterými potřebujete pracovat? Informační systém (on-premise) Elektronická pošta, plánování času - kalendář, úkoly, Sociální sítě Další informační zdroje, Internet Jaké zařízení k práci používáte a proč? Stolní počítač Přenosný počítač Chytré mobilní zařízení (telefon, tablet) Veřejný počítač Kdy a kde potřebujete/můžete pracovat? 3
Co je k tomu potřeba? Bezpečný způsob přístupu k interním IS a aplikacím Zajištění preautentizace na hranicích sítí Využití jednotné autorizace Možnost dvou-faktorové autentizace Bezpečnostní kontrolu přistupujících systémů Řešení s vysokou dostupností 4
Bezpečný vzdálený přístup Slouží k: Umožnění bezpečného přístupu k definovaným informačním systémům bez nutnosti navázat VPN Bezpečné publikování aplikací do Internetu Poskytuje: Centralizovanou správu přístupu Jednotnou autorizaci uživatele a počítače, řízení politik Nástroje pro vynucení bezpečnosti na úrovni: Autentizačních metod Komunikačních protokolů Přistupujících klientů Auditing 5
Bezpečnostní architektura Využívá skupinové politiky Bezpečnostní konfigurace domény AD Bezpečnostní konfigurace RD serveru Bezpečnostní konfigurace Windows stanice Podpora pro řízení přístupu ACL - metodika použití bezpečnostních skupin RBAC přístupy na základě rolí Bezpečnostní konfigurace prostředí Správa bezpečnostní konfigurace Proces správy aktualizací Služba vyhodnocování logů Auditing správa a konfigurace 6
Technologická architektura Windows Server (2008 R2 2012 R2) RD klient s podporou RD Gateway Podpora virtualizace RD Gateway a Session Host serverů VMware, Hyper-V Vysoká dostupnost HW Virtualizace Loadbalancing DRP plánování Vhodné pro scale out nasazení 7
Technologická architektura 8
Využívané technologie Microsoft Active Directory Skupinové politiky Role vzdáleného přístupu (NPS, NAP) Role vzdáleného desktopu RD Gateway Autentizace uživatelů i pomocí čipových karet Řízení přístupu k počítačům v interní síti Řízení zdrojů přenášených přes RDP spojení Základní kontrola stavu vzdálených stanic PKI Čipové karty, OTP 9
Podpora pro mobilní zařízení Klient od Microsoftu pro Android, ios a OS X Nepodporuje přihlášení pomocí čipové karty Dvou-faktorovou autentizaci je možné řešit pomocí OTP 10
Nabízené služby Analýza prostředí a požadavků Současný stav a požadavky Návrh architektury cílového řešení Návrh technologické a bezpečnostní architektury včetně zdůvodnění Projektové práce Zpracování systémového a implementačního projektu Implementace řešení Vlastní nasazení technologií a migrace Svěřená správa nebo provozní podpora Správa, údržba, rozvoj implementovaných služeb 11
Přínos pro zákazníka Přínosy ze zavedení, Možnost přístupu k interním IS pomocí různých zařízení z Internetu Možnost přistupovat k IS, které nemají webové rozhraní Zvýšení bezpečnosti Zavedení centrální správy vzdáleného přístupu Možnost využít vysokou dostupnost řešení Důvody pro migraci a konsolidaci Možnost používat centralizované politiky a správy Dvou-faktorová autentizace Řízení přístupu na úrovni uživatele a počítače Vysoká elastičnost řešení, cloud ready řešení 12
Děkuji za vaši pozornost Petr Hron Petr.Hron@i.cz +420 222 272 207 ICZ a.s. Sekce Bezpečnost 13