matrox IP KVM Security Software Кіраўніцтва карыстальніка

Праграма бяспекі IP KVM matrox

Кіраўніцтва карыстальніка

matrox.com/video

Што вам трэба ведаць аб абароне IP KVM

Ахова крытычных асяроддзяў і размеркаваных працоўных рэсурсаў становіцца ўсё больш важнай з-за росту кібератак і пагроз. У гэтым кіраўніцтве разглядаюцца асноўныя элементы бяспекі, неабходныя пры разгортванні рашэння IP KVM.

Крытычныя сістэмы

Бяспека з'яўляецца адной з самых важных праблем у крытычных асяроддзях, дзе інфармацыйныя работнікі кантралююць дадзеныя ў рэжыме рэальнага часу, аналізуюць іх і прымаюць важныя рашэнні. Тут і ў многіх іншых асяроддзях пашыральнікі IP KVM разгортваюцца для абароны камп'ютэрных актываў у серверных пакоях і дазваляюць карыстальнікам кіраваць імі на адлегласці. Гэта дапамагае прадухіліць апаратныя тampі перапынкі ў штодзённай працы.
З ростам пагрозы кібератак становіцца больш важным, чым калі-небудзь, разгортванне пашыральнікаў IP KVM, якія забяспечваюць ключавыя функцыі бяспекі ў адпаведнасці з палітыкай і рэкамендацыямі ІТ-бяспекі арганізацыі.

Прынцыпы інфармацыйнай бяспекі (трыяда ЦРУ)

Прынцыпы інфармацыйнай бяспекі кіруюць арганізацыямі пры распрацоўцы палітык, працэдур і працэсаў, якія дапамагаюць падтрымліваць канфідэнцыяльнасць, цэласнасць і даступнасць дзелавой інфармацыі.

• Канфідэнцыяльнасць - Абараняе прыватнасць інфармацыі, гарантуючы, што толькі карыстальнікі з правільнымі прывілеямі могуць бачыць або выкарыстоўваць інфармацыю.
• Сумленнасць - Забараняе трэцім асобам змяняць інфармацыю, перш чым яна дасягне пункта прызначэння, або цалкам яе знішчыць.
• Даступнасць - Гарантуе, што інфармацыя даступная, калі карыстальніку патрабуецца доступ да яе, і што сетка ў цэлым устойлівая, калі ёсць адна кропка збою.

Асноўныя функцыі бяспекі

Бяспека IP існуе ўжо некалькі дзесяцігоддзяў. Як дадзеныя, так і тэлефон праз IP ужо прайшлі праз некалькі пакаленняў пастаянных ітэрацыйных паляпшэнняў бяспекі, якія непасрэдна прыносяць карысць разгортванню IP KVM. Рашэнні для пашырэння і камутацыі IP KVM перадаюць аўдыё, відэа і сігналы кіравання камп'ютэрнай сістэмай на выдаленую карыстальніцкую станцыю праз стандартную сеткавую інфраструктуру. Таму важна выбраць рашэнне, якое прапануе ключавыя функцыі бяспекі, каб дапамагчы абараніць канфідэнцыяльнасць, цэласнасць і даступнасць сістэм, якія ўваходзяць у сетку KVM.

Тэхналогіі шыфравання

Шыфраванне - гэта працэс, з дапамогай якога пашыральнік IP KVM пераўтварае сігналы A/V і/або USB у сакрэтны код. Такім чынам, шыфраванне прадухіляе несанкцыянаваны доступ падчас перадачы і абараняе канфідэнцыяльнасць перадаваных сігналаў падчас транспарціроўкі. Магчымасць шыфравання пакетаванага відэа, аўдыё і USB лічыцца лепшай, чым традыцыйная перадача відэа ў базавай паласе, калі ёсць асцярогі, што хтосьці можа паспрабаваць узламаць і сачыць за каналамі. Пашыральнікі IP KVM, якія падтрымліваюць шыфраванне, бяспечна распаўсюджваюць аўдыё, відэа і сігналы USB па сетцы IP. Яны таксама захоўваюць цэласнасць перадаемых даных, не даючы трэцім асобам змяняць змесціва падчас транспарціроўкі.

Advanced Encryption Standard (AES) - адзін з самых бяспечных стандартаў шыфравання даных, прынятых ва ўсім свеце. Ён быў заснаваны ў 2001 годзе Нацыянальным інстытутам стандартаў і тэхналогій (NIST), які з'яўляецца аддзяленнем урада ЗША. Некаторыя пашыральнікі IP KVM выкарыстоўваюць стандарт AES для шыфравання даных і пароляў.

У 128-бітных і 256-бітных стандартах AES выкарыстоўваецца сіметрычны алгарытм шыфравання, які выкарыстоўвае адзін ключ для шыфравання і дэшыфравання даных. У праграмах KVM важна абараняць не толькі аўдыя- і відэасігналы, але і сігналы USB шляхам шыфравання націсканняў клавіш для бяспечнага ўводу пароляў для абароны канфідэнцыяльнай інфармацыі.

Каналы сувязі і кіравання

Пашыральнікі IP KVM звязваюцца адзін з адным і абменьваюцца камандамі, напрыкладample, калі прыёмнік павінен пераключыцца і падключыцца да іншага перадатчыка (сістэмы-крыніцы). Каб прадухіліць тampзвязваючыся з сеткай KVM альбо перанакіроўваючы сігналы, альбо спыняючы працу.

HTTPS працуе праз злучэнне бяспекі транспартнага ўзроўню (TLS). TLS - гэта галіновы стандартны пратакол для бяспечнай сувязі па сетцы. Гэта больш бяспечная версія Secure Socket Layer (SSL). TLS выкарыстоўвае асіметрычнае шыфраванне (як публічнае, так і прыватнае) для абароны інфармацыі, якая перадаецца, і абапіраецца на лічбавыя сертыфікаты для праверкі ідэнтычнасці прылад-перадатчыкаў і прыёмнікаў. Бяспечны канал сувязі і кіравання ў сетцы KVM мае вырашальнае значэнне для захавання канфідэнцыяльнасці і цэласнасці пашыраных сігналаў A/V, USB і сігналаў кіравання. Гэты ўзровень камандавання і кіравання можа быць дадаткова абаронены з дапамогай дазволаў і пароляў.

Дазволы і паролі

Розныя ўзроўні бяспекі можна вызначыць шляхам наладжвання правоў і пароляў карыстальнікаў. Дазволы карыстальнікаў дазваляюць адміністратарам вызначаць, да якіх зыходных сістэм карыстальнік можа падключацца і з якой аддаленай станцыі ён можа атрымліваць доступ да сістэм.

Лакальныя карыстальнікі або карыстальнікі на аснове дамена могуць быць створаны праз Microsoft® Active Directory® або іншыя серверы дамена. Кожнаму карыстальніку неабходна ўвайсці ў сістэму прыёмніка, каб view спіс перадатчыкаў або сістэм-крыніц, да якіх яны могуць падключацца. ІТ-спецыялісты таксама рэкамендуюць выкарыстоўваць надзейныя паролі і рэгулярна іх мяняць. Шматузроўневая рэгістрацыя дадае яшчэ адзін узровень бяспекі — карыстальнік будзе вымушаны ўвайсці ў прыладу-прыёмнік KVM і зыходную сістэму.

Аўтэнтыфікацыя на аснове порта

Надзейная форма аўтэнтыфікацыі забяспечваецца стандартам IEEE 802.1x — кантролем доступу да сеткі на аснове партоў для правадных і бесправадных прылад. Стандарт IEEE 802.1x блакуе падманныя прылады ад сувязі па абароненай сетцы і патэнцыйнага парушэння працы. Сеткавы камутатар блакуе трафік да і ад любой новай прылады, якая патрабуе доступу да сеткі, пакуль яна не будзе аўтэнтыфікавана цэнтральным серверам, звычайна серверам RADIUS (Remote Authentication Dial-In User Service). Ён правярае ідэнтычнасць новай прылады і толькі пасля гэтага дазваляе прыладзе далучыцца да сеткі.

Аўтарызацыя USB прылады

Вірусы і шкоднасныя праграмы на аснове кантэнту могуць пранікаць у сістэмы праз заражаныя USB-назапашвальнікі або флэш-назапашвальнікі. Згодна са справаздачай Honeywell аб пагрозах прамысловай кібербяспекі праз USB за 2021 год, пагрозы, якія распаўсюджваюцца праз USB, выраслі з 19% у 2019 годзе да крыху больш за 37% у 2020 годзе. «Павелічэнне сур'ёзнасці пагрозы звязана з павелічэннемasinшматфункцыянальнае шкоднаснае праграмнае забеспячэнне gly, якое здольна непасрэдна ўздзейнічаць на мэтавыя сістэмы (20%), спампоўваючыtage-2 карыснай нагрузкі (9%), або адкрыццё бэкдораў, усталяванне прамога аддаленага доступу, а таксама камандаванне і кантроль (52%)», - гаворыцца ў справаздачы Honeywell. Справаздача ідзе далей, мяркуючы, што здымныя носьбіты USB выкарыстоўваюцца для выкарыстання асяроддзя з паветраным зазорам.

Блакаванне працы прылад USB 2.0 на IP-прыёмніку KVM - адзін са спосабаў прадухілення такіх уварванняў. Звычайна гэта робіцца на ўзроўні прадукту, дзе пашыральнікі IP KVM дазваляюць падключацца толькі да прылад USB HID, такіх як клавіятура і мыш, і блакуюць усе транзакцыі USB 2.0. Для прыкладанняў, якія патрабуюць падтрымкі USB 2.0, высокапрадукцыйныя пашыральнікі IP KVM даюць адміністратарам магчымасць аўтарызаваць выбраныя прылады USB 2.0 на аснове серыйнага нумара, маркі і мадэлі і абараняць сістэмы ад нападаў.

Сегментацыя сеткі

Сетка складаецца з розных тыпаў прылад, у тым ліку камп'ютараў, сервераў, IP-KVM-перадатчыкаў і прыёмных прылад і іншых. Кожная прылада мае розныя функцыі і перадае або апрацоўвае інфармацыю на розных узроўнях класіфікацыі. Сеткавая інфраструктура звязвае ўсе гэтыя прылады або вузлы разам — калі адзін вузел будзе заражаны, атака можа лёгка распаўсюдзіцца на ўсю сетку.
Сегментацыя падзяляе сетку па функцыях, кожная з якіх мае розныя патрабаванні бяспекі. Сегментацыя па функцыях не дазваляе зламысніку свабодна перамяшчацца па сетцы і далей распаўсюджваць атаку. Сеткі можна лагічна сегментаваць па функцыях або тыпу трафіку шляхам стварэння віртуальных лакальных сетак (VLAN) і брандмаўэраў, напрыкладample, трафік KVM можа знаходзіцца ў асобнай VLAN, чым трафік дадзеных. Больш жорсткі кантроль бяспекі дасягаецца шляхам фізічнага падзелу сетак і наяўнасці асобнай інфраструктуры для кожнай функцыі. Гэта азначае наяўнасць асобнага набору сервераў, камутатараў і маршрутызатараў для сеткі KVM.

У крытычных умовах, такіх як ваенныя, фінансавыя, энергетычныя і камунальныя рынкі, сеткі з паветраным зазорам з'яўляюцца звычайнай практыкай. У гэтым выпадку сетка KVM не падключана да агульнадаступнага інтэрнэту або неабароненых лакальных сетак. Выкарыстанне валаконна-аптычных кабеляў для маршрутызацыі сетак таксама забяспечвае яшчэ адзін узровень бяспекі. Валаконна-аптычныя кабелі цяжэй сачыць, чым CAT5, і яны падтрымліваюць вялікія адлегласці, тым самым зводзячы да мінімуму скрыжаванні і магчымыя кропкі атакі.

Віртуальная прыватная сетка (VPN)

Віртуальная прыватная сетка (VPN) - гэта сеткавая тэхналогія, якая стварае абароненае сеткавае злучэнне пры выкарыстанні агульнадаступных сетак, такіх як Інтэрнэт. VPN накіроўваюць інтэрнэт-трафік праз VPN-тунэль, зашыфраванае злучэнне паміж вашай прыладай і знешняй сеткай. Шыфраванне ўскладняе трэцім асобам адсочванне або перахоп вашых дзеянняў у Інтэрнэце, нават у агульнадаступных сетках. Бяспечнае зашыфраванае злучэнне VPN мае вырашальнае значэнне для людзей, якія маюць аддалены доступ да сістэм або сервераў кампаніі, каб мінімізаваць рызыку ўцечкі даных або несанкцыянаванага доступу да даных.

Шматфактарная аўтэнтыфікацыя (MFA)

Дадатковы ўзровень бяспекі можна забяспечыць з дапамогай шматфактарнай аўтэнтыфікацыі (MFA). MFA - гэта метад аўтэнтыфікацыі, які патрабуе ад карыстальнікаў прадастаўлення двух або больш фактараў праверкі для ідэнтыфікацыі карыстальніка і атрымання доступу да рэсурсу праз VPN. Дзякуючы моцнай абароне ідэнтыфікацыі MFA прадухіляе патэнцыйных зламыснікаў доступ да інтэрнэт-рэсурсаў, нават калі імя карыстальніка і пароль атрыманы іншымі спосабамі. У якасці другога ўзроўню аўтэнтыфікацыі лічбавыя сертыфікаты выкарыстоўваюцца для ідэнтыфікацыі прылад і забеспячэння палепшанай абароны прыватнасці.

Адпавядаюць палітыкам ІТ-бяспекі

Нягледзячы на ​​тое, што нішто не заменіць веды і адказныя намаганні па разгортванні, калі справа даходзіць да бяспекі сетак, IP-KVM-пашыральнікі з ключавымі функцыямі бяспекі дапамагаюць адпавядаць палітыкам і працэдурам ІТ-бяспекі арганізацыі. Правільнае рашэнне для пашырэння і камутацыі IP KVM такое ж ці нават больш бяспечнае, чым традыцыйныя рашэнні для матрычнай камутацыі KVM. Калі банкінг можа ажыццяўляцца праз IP, чаму б не змесціва вашага працоўнага стала?

Matrox Secure IP KVM пашыральнікі

Matrox® прапануе бяспечныя, высокапрадукцыйныя рашэнні IP KVM, якія бесперашкодна інтэгруюцца ў існуючую ІТ-інфраструктуру. Пашыральнікі IP-KVM Matrox Extio™ 3 ідэальна падыходзяць для шырокага дыяпазону асяроддзяў, уключаючы камунальныя службы, транспарт, ваенныя, абаронныя, вяшчальныя і постпрадакшн. Extio 3 забяспечвае некранутае 4Kp60 або чатырох'ядравае 1080p60 4:4:4 відэа, клавіятуру, мыш, USB 2.0 і аўдыясігналы з нізкім бітрэйтам і падтрымлівае LAN, WAN або Інтэрнэт праз стандартную сетку Gigabit Ethernet. Распрацаваны ў Канадзе і прызначаны для палягчэння інтэграцыі і забеспячэння аперацыйнай гнуткасці для абмену інфармацыяй, хуткага прыняцця рашэнняў і інтуітыўна зразумелай сумеснай працы, Extio 3 IP KVM пашыральнік ідэальна падыходзіць для шырокага спектру бяспечных пашырэнняў і камутацыйных прыкладанняў.

тэхнічныя характарыстыкі:

• Шыфраванне A/V
• USB шыфраванне
• Бяспечная сувязь
• Асяроддзе, абароненае паролем
• Аўтэнтыфікацыя карыстальніка
• Падтрымка Active Directory
• Дазволіць толькі прылады USB HID
• Аўтарызацыя прылады USB 2.0
• Шматфактарная аўтэнтыфікацыя
• Кліент IPsec VPN
• Аўтэнтыфікацыя на аснове порта
• Лічбавыя сертыфікаты

Каналы сувязі:

Пераканайцеся, што каналы сувязі і кіравання паміж блокамі пашыральніка IP KVM бяспечныя, выкарыстоўваючы такія пратаколы, як HTTPS, каб прадухіліць тampсупрацоўнічаць з сеткай.

Віртуальная прыватная сетка (VPN) і шматфактарная аўтэнтыфікацыя (MFA):

Разгледзьце магчымасць выкарыстання VPN для бяспечных злучэнняў і ўкараніце MFA для дадатковых узроўняў бяспекі.

Адпавядаць палітыкам ІТ-бяспекі:

Каб забяспечыць бяспечнае асяроддзе для перадачы дадзеных, выбірайце пашыральнікі IP KVM, якія адпавядаюць палітыцы і працэдурам ІТ-бяспекі арганізацыі.

FAQ:

Пытанне: Якія асноўныя функцыі бяспекі пашыральнікаў Matrox Secure IP KVM?

A: Асноўныя функцыі бяспекі ўключаюць шыфраванне A/V, шыфраванне USB, бяспечную сувязь, асяроддзе, абароненае паролем, аўтэнтыфікацыю карыстальніка, падтрымку Active Directory і многае іншае.

Пытанне: Як я магу звязацца з Matrox для падтрымкі або запытаў?

A: Вы можаце звязацца з Matrox па электроннай пошце video@matrox.com або праз іх рэгіянальныя офісы, пералічаныя для розных геаграфічных рэгіёнаў.

Звярніцеся ў Matrox

video@matrox.com
North America Corporate Headquarters: 1 800-361-1408 or +1 514-822-6000
Падача: Канада, ЗША, Лацінская Амерыка, Азія, Азіяцка-Ціхаакіянскі рэгіён і Акіянія
Лонданскі офіс: +44 (1895) 827300 або +44 (0) 1895 827260
Абслугоўванне: Вялікабрытанія, Ірландыя, Бенілюкс, Францыя, Іспанія, Партугалія, Блізкі Усход, Афрыка
Мюнхенскі офіс: +49 89 62170-444

Падача: Германія, Аўстрыя, Швейцарыя, Данія, Фінляндыя, Нарвегія, Швецыя,
Цэнтральная і Усходняя Еўропа, краіны Балтыі, Грэцыя, Турцыя, Італія

Аб Matrox Video

Matrox Video з'яўляецца сусветным вытворцам надзейных, высакаякасных ASIC, плат, прылад і праграмнага забеспячэння. Абапіраючыся на ўласны вопыт дызайну і
спецыяльная падтрымка кліентаў, прадукты Matrox забяспечваюць зорны захоп, пашырэнне, распаўсюджванне і адлюстраванне. Тэхнічная высакаякасная прадукцыя з тых часоў
1976 год, тэхналогіі Matrox давяраюць прафесіяналы і партнёры па ўсім свеце. Matrox - гэта прыватная кампанія са штаб-кватэрай у Манрэалі, Канада.
Для атрымання дадатковай інфармацыі наведайце www.matrox.com/video.