АО НПП «Исток» им. Шокина столкнулось с типичным для высокозащищенных инфраструктур вызовом: как дать удаленным сотрудникам доступ к токенам ЭЦП, сканерам и другим USB-устройствам, не нарушая требования ИБ и регуляторов. В RuDesktop добавлен безопасный проброс USB. Благодаря этому продукт помог компании обеспечить своевременный доступ сотрудников к корпоративным ресурсам и двухфакторную аутентификацию при сохранении жестких политик безопасности.

О клиенте

Научно-производственное предприятие «Исток» им. Шокина».

Основное направление деятельности — новые разработки и серийное производство современных и перспективных изделий СВЧ-электроники для всех видов связи и радиолокации.

Цель клиента

Обеспечить бесперебойную удаленную работу сотрудников с корпоративными системами, требующими физических USB-носителей, токенов в системе документооборота, ключей защиты.

Проблемы и вызовы

Клиенту было важно получить не просто «проброс USB», а безопасный и встроенный в уже эксплуатируемое на предприятии программное обеспечение. Нужен был механизм, который не ломает существующие процессы и отвечает требованиям регуляторов.

Без такого решения удаленные сотрудники сталкивались с целым набором ограничений:

не могли использовать USB-токены для корпоративных ресурсов;

специализированное ПО требовало физического присутствия ключа рядом с рабочей станцией;

снижалась адаптивность бизнеса, повышались риски остановки критичных процессов при переходе на удаленный или гибридный формат работы.

Почему стандартные методы не сработали

До обращения к нам компания уже протестировала ряд подходов, но ни один не дал нужного сочетания безопасности, стабильности и удобства.

Стандартные средства RDP/USB-редиректа — работали нестабильно, не поддерживали часть устройств и вызывали конфликты в инфраструктуре.

VNC, TeamViewer и аналоги — рассматривались как временная мера, но оказались небезопасными, плохо масштабируемыми и требующими физического присутствия пользователя за офисным ПК.

При этом отдельно подчеркивалось требование: решение должно уметь пробрасывать USB-устройства как на удаленное устройство, так и с удаленного устройства обратно к сотруднику, чтобы поддержать все сценарии работы и не менять привычную логику процессов.

Наше решение: реализация проброса USB

RuDesktop разработал и внедрил новый тип подключения, который позволяет пробрасывать USB-устройства:

с локального устройства на удаленное;

с удаленного устройства на локальное.

Реализация тесно интегрирована в наш продукт и не требует открытия дополнительных портов или каких-либо дополнительных действий по безопасности.

Принцип работы

Пользователь выбирает нужное USB-устройство в клиенте RuDesktop, система по защищенному каналу «прикрепляет» его к удаленной сессии, и для приложений оно выглядит как подключенное локально.

Доступ к пробросу USB централизованно настраиваются администратором на сервере привычным для клиентов способом.

Поддерживается широкий спектр USB-устройств: запоминающие USB-устройства, ключи и токены (Рутокен, CryptoPro), сканеры и принтеры, web-камеры, мыши и клавиатуры.

Процесс реализации

Анализ

Был определен спектр и типы USB-устройств, критичных для клиента: токены ЭЦП, ключи защиты, и другие периферийные устройства.

Оценено, какие устройства работают с использованием стандартного USB-стека, а какие требуют особого подхода.

Прототипирование

На нашем стенде была развернута аналогичная инфраструктура, реализован проброс USB и протестированы все сценарии проброса клиента.

Дополнительно:

произведена оценка производительности и устойчивости соединений при реальной нагрузке;

настроена ACL-модель доступа: кто и куда может пробрасывать USB-устройства;

добавлена отдельная настройка в клиенте, где можно указать, какие устройства доступны для проброса.

Внедрение

Подготовлена сборка и произведено совместное обновление сервера с клиентом, осуществлено поэтапное обновление клиента всех нуждающихся сотрудников.

Инструктаж

Наглядно описан процесс подключения в документации, созданы простые инструкции для пользователей.

Результаты интеграции

Операционные результаты:

100% сотрудников, которым требуется периферия, получили удаленный доступ к необходимым USB-устройствам;

время на изменения конфигураций АРМ с использованием привилегированных УЗ с 2FA на ключевых носителях информации сократилось с нескольких дней до нескольких минут.

Экономические результаты:

устранение простоев в критических бизнес-процессах, связанных с ЭЦП.

Стратегические результаты:

обеспечена непрерывность бизнеса при удаленной и гибридной работе;

повышена гибкость и адаптивность компании к внешним ограничениям;

улучшен опыт сотрудников: меньше ручной рутины и организационных задержек.

Оценка эффективности со стороны заказчика

Представитель АО НПП «Исток» им. Шокина отметил:

«Мы смогли закрыть требования ФСБ и ГК «Ростех» по защищенности привилегированных устройств, при этом не нарушив выстроенный безопасный процесс удаленной поддержки пользователей».

Заключение

Проброс USB-устройств — критичная задача для многих отраслей. Наше решение, проверенное на предприятии АО НПП «Исток» им. Шокина, является надежным, безопасным, готовым к масштабированию и тесно интегрировано в продукт Rudesktop, что позволяет еще больше автоматизировать рутину, улучшить скорость и обеспечить высокий уровень безопасности.

Если вы столкнулись с похожей проблемой, мы готовы обсудить вашу задачу с нашими инженерами или договорится о тестировании.

