Viele Virtual Desktop Infrastructure (VDI)-Lösungen bieten sowohl einen nativen Client als auch eine HTML5-Alternative, wobei letztere natürlich den Vorteil hat, dass auf dem Computer des Nutzers nichts installiert sein muss und man von jedem Gerät aus arbeiten kann.
HTML5-Clients sind nicht neu, aber bis vor kurzem haben sie im Vergleich zur nativen Alternative deutlich schlechter abgeschnitten.
Nun, da HTML5 das bietet, was viele als ausreichend gute Benutzererfahrung ansehen, stellt sich immer noch die Frage nach der Sicherheit und dem Datenschutz, die durch die Möglichkeiten der Browser nicht gewährleistet werden können.In vielen regulierten Branchen sollte die Sicherheit die Benutzerfreundlichkeit in einem vernünftigen Rahmen überwiegen, so dass die Frage, ob HTML5 VDI sicher genug ist, von entscheidender Bedeutung ist.
Bietet die vom HTML5-Client gebotene Isolierung ausreichend Sicherheit, so dass auch ein nicht verwaltetes, persönliches Gerät für den sicheren Zugriff auf kritische Anwendungen, z. B. Bankanwendungen, verwendet werden kann?
Auf dem Prüfstand
Wir simulierten eine bösartige Malware, die Informationen auf dem Host-Gerät aufzeichnete, während sie sich mit verschiedenen Websites verband. Der "Angriff" war erfolgreich, und wir waren in der Lage, Informationen aus der laufenden html5-Sitzung zu extrahieren. Mit MetaDefender Access haben wir dann ein Profil implementiert, um die Bildschirmaufnahme zu verhindern, und der Hacker erhielt schwarze Bildschirme, ähnlich wie in diesem Beispiel:
SindHTML5-VDI-Lösungen sicher genug für Finanzinstitute?
Kurz gesagt, nein.
Jedes Gerät, das auf Unternehmensressourcen zugreift, birgt nach wie vor erhebliche Risiken in Bezug auf Datenschutz und Sicherheit, insbesondere in einer regulierten Branche.
Im Rahmen einer Null-Vertrauens-Methode muss sichergestellt werden, dass das Gerät eine gute Hygiene aufweist, bevor eine Verbindung zugelassen wird, z. B. eine aktuelle und vollständig konfigurierte Antimalware-Lösung, ein verschlüsseltes Laufwerk, eine aktivierte Bildschirmsperre usw. Es ist auch sehr wichtig, sich für Audits einen Überblick über den Compliance-Status der Organisation zu verschaffen.
Angenommen, Ihr Unternehmen hat beschlossen, jedem Gerät die Verbindung zu Unternehmensressourcen über HTML5 zu gestatten. Es besteht die Möglichkeit, dass der Malwareschutz nicht aktiviert ist, und selbst wenn dies der Fall ist, besteht die Möglichkeit, dass ein bösartiger Fernzugriffstrojaner (RAT) diese Erkennung umgehen kann.
Wenn So, What ist die Risk?
Das Risiko besteht darin, dass sie aus der Ferne auf Daten zugreifen, indem sie Bildschirme aufzeichnen und Keylogging betreiben, ohne dass der Besitzer des Geräts oder das Unternehmen davon wissen.
Dies führt dazu, dass sensible Daten, die in der HTML5-Sitzung angezeigt und eingegeben werden, dem Angreifer zugespielt werden.
Um sich vor diesem gar nicht so unwahrscheinlichen Angriff zu schützen, ist es wichtig, einen Bildschirmaufzeichnungsschutz und eine Anti-Keylogger-Technologie zu verwenden, die den Angreifer ausbremsen kann.
Nein Doubt Adarüber. Compliance und Privacy Richtlinien Need sein Taken Sernst genommen werden.
Unternehmen wie Morgan Stanley und JP Morgan haben diese teure Lektion kürzlich gelernt.Daher lohnt es sich, einen "Defense-in-Depth"-Ansatz zu verfolgen. OPSWAT bietet eine solche Technologie als Teil seiner MetaDefender Access-Lösung.
- Wenn die Bildschirmaufnahmeverhinderung von MetaDefender Access aktiviert ist, wird das aufgenommene Bild durch ein leeres Bild ersetzt, wie hier abgebildet:
- MetaDefender Access' Application Control blockiert die Nutzung von Messaging-Apps wie WhatsApp, während sie mit dem VDI-System des Unternehmens verbunden sind
- Wenn MetaDefender Access' Anti-Keylogging aktiviert ist, sehen Hacker zufälligen Text und nicht das, was die Benutzer eingeben, wie hier dargestellt:
Echte Leistung für echten Schutz
MetaDefender Access bietet den notwendigen Schutz, um Datenverluste zu verhindern und Bußgelder zu vermeiden, aber die wirkliche Leistung für den VDI-Schutz liegt in der Integration mit VMware Horizon.
OPSWAT hat sich mit VMware zusammengetan, um eine eng integrierte gemeinsame Lösung anzubieten, die diese Schutzmaßnahmen auf vertrauenswürdige Weise gewährleistet, bevor und während der Anwender über Horizon auf Anwendungen zugreift.
Wenn zum Beispiel ein Benutzer den MetaDefender Endpoint manipuliert, um den Schutz für Bildschirmaufnahmen zu deaktivieren, wird der Benutzer für den Zugriff auf die VDI-Sitzung gesperrt.
Für den HTML5 Horizon-Client nutzt MetaDefender Access die bestehende Identity Access Management-Lösung Ihres Unternehmens, wie Ping Identity oder Okta, um die Konformität als Teil des SAML-Authentifizierungsprozesses zu überprüfen, bevor der Benutzer Zugriff auf Anwendungen erhält.
Dies funktioniert gut, um die Einhaltung von Vorschriften zu gewährleisten - auch bei BYOD.
Um auf die Hauptfrage zurückzukommen, ob die HTML5-VDI-Sitzungsisolierung ausreicht, um nicht vertrauenswürdige Geräte zu schützen, lautet die Antwort immer noch nein.
Zur Einhaltung von Vorschriften und zum Schutz sensibler Unternehmensdaten ist es wichtig, auf dem Enclave-Host Tools zur Tiefenverteidigung einzusetzen, die Funktionen wie MetaDefender Access bieten.
