Kõik referentsid
Turvalisus

Riistvaralise USB-puhastusseadme klienditarkvara arendamine

Lõpp-punkti agent ja keskhaldusserver riistvaralisele USB-puhastusseadmele — ükski kontrollimata mälupulk ei avane.

100%USB-meediast kontrollitud enne avamist

Ülevaade

  • Valdkond: Turvalisus — irdkandjate (USB) kontroll
  • Meie roll: Ehitasime lõpp-punkti agendi ja keskhaldusserveri riistvaralisele USB-puhastusseadmele
  • Tehnoloogia: Windowsi teenus + ASP.NET Core haldusserver (gRPC, TLS), X.509-põhine — täielikult auditeeritav, kliendile kuuluv

Väljakutse

USB-port on üks vanimaid viise, kuidas pahavara turvalisse võrku pääseb: üksainus kontrollimata mälupulk, ühte arvutisse ühendatud, võib kanda nakkuse läbi iga tulemüüri. Spetsiaalne riistvara suudab mälupulga kioskis üle kontrollida ja puhastada — kuid see aitab vaid siis, kui inimesed seda tegelikult kasutavad. Miski ei takista kioskist mööda hiilimast ja kontrollimata pulga otse tööjaama ühendamast.

Selle lünga sulgemiseks ei tohi puhastamine olla valikuline. See peab olema jõustatud igas lõpp-punktis — ja hallatud kogu arvutipargi ulatuses, mitte seadistatud ühe arvuti kaupa.

Lahendus

RaulWalter ehitas tarkvara, mis muudab eraldiseisva puhastusseadme kogu parki hõlmavaks jõustamiseks:

  • lõpp-punkti agent — Windowsi teenus igas kaitstud arvutis, mis vahendab iga USB-mäluseadme kohe selle ühendamisel, haakib selle esmalt privaatselt ega ava seda kasutajale enne, kui on kontrollinud seadme eraldiseisva allkirja ja võrrelnud iga faili allkirjastatud SHA-512 manifestiga — midagi pole lisatud, muudetud ega kustutatud. Kõik allkirjastamata, tundmatu või muudetud haagitakse kohe lahti;
  • keskhaldusserver — ASP.NET Core teenus veebikonsooli ja gRPC-liidesega, mis haldab agentide parki ja kogub nende logisid üle TLS-i, igale seadmele tema enda X.509 sertifikaadi alusel;
  • ehitatud kliendi tingimustel: kood on täielikult auditeeritav, kuulub kliendile ega sõltu millestki muust patenteeritust peale Windowsi.

Tulemus

Kaitstud arvutis ei avane USB-mälupulk lihtsalt enne, kui seade on selle puhastanud ja allkirjastanud — ja see on endiselt täpselt selline, nagu allkirjastati.

  • 100% ühendatud USB-meediast kontrollitud enne, kui see haakida lubatakse
  • Allkirjastamata, tundmatu või muudetud meedia tõkestatud pordis, automaatselt
  • Failipõhine terviklus — iga fail kontrollitud allkirjastatud SHA-512 manifesti vastu, esmalt privaatse ja seejärel avaliku haakimisega, nii et kasutaja ei puutu kunagi kontrollimata meediaga;
  • Keskselt hallatud ja logitud kogu pargi ulatuses ühest serverist
  • Auditeeritav, kliendile kuuluv kood, ilma patenteeritud sõltuvusteta peale Windowsi
Järgmine projekt

Digitaalse usalduse piiriülene tunnustamine Lääne-Balkanil

Kuue Lääne-Balkani riigi suunamine usaldusteenuste vastastikuse tunnustamiseni — eIDASe mudelil, ühe regioonina ELi poole.

Vaata