ABRA, la formula magica di Check Point per i VD

Abra…cadabra! In quest’ultimo periodo ho studiato e testato un prodotto molto interessante, sviluppato internamente da Check Point in collaborazione con SanDisk, per una soluzione di desktop security.

Si tratta di un’unità di memoria flash con crittografia hardware (appunto una chiavetta USB Sandisk) che contiene al suo interno un software di sicurezza per la cifratura dei dati e un client VPN verso il Gateway Check Point.

Inserendo la chiavetta Abra in un qualsiasi computer viene richiesta una password con cui è possibile anzitutto accedere ai dati sulla periferica di storage (in modalità Offline) ed eventualmente, se viene rilevata connettività, consentire il collegamento in SSL VPN al Gateway Check Point in maniera assolutamente trasparente all’utente (modalità Online). La flessibilità del prodotto è aumentata dal fatto che non è richiesto di essere amministratori della macchina, si può usare anche PC fuori dominio Windows, una macchina pubblica, persino una postazione di un Internet Point…

Inserendo la chiavetta nella porta USB, compare il prompt di richiesta password per “sbloccare” l’accesso ai dati cifrati.

Inoltre (se previsto) viene eseguito un Compliance Scanner, una verifica che il client che stiamo utilizzando sia conforme alle policy aziendali per la connessione alla rete (service pack, antivirus ecc), in modo da essere compliance alle eventuali policy di NAC (personalizzabili sul Gateway CP ovviamente). Esistono delle policy di default (come quelle nell’immagine seguente) che possono essere personalizzate ma è anche ovviamente possibile creare delle regole ad hoc.

Naturalmente Abra non è solo questo…altrimenti lo slogan Abra instantly turns any PC into your corporate desktop non avrebbe senso!

Inserendo la chiavetta viene generato e aperto un ambiente protetto denominato Virtual Desktop, nel quale è possibile avere accesso alle sole applicazioni che sono state rese disponibili dalle policy aziendali.

Ad esempio se la vostra azienda decide che i suoi utenti mobili possono utilizzare solamente Word ed Excel, configurando le opportune opzioni nella Dashboard, nel Virtual Desktop sarà possibile eseguire solamente questi due prodotti (naturalmente se installati in locale). Peraltro, se i software non sono installati localmente, è sempre possibile utilizzare delle versioni portable del software (usando per esempio VMware ThinApp), salvandole direttamente sulla chiavetta. Tutto sommato una soluzione più pulita e che garantisce all’end user la possibilità di utilizzare i documenti aziendali, indipendentemente dalla macchina client.

L’amministratore ha anche il controllo per decidere se l’utente può trasferire documenti dal Virtual Desktop al desktop del pc fisico (export) o viceversa (import). Personalmente, mi sembra sensato lasciare attivo l’import, per consentire il passaggio su ambiente sicuro di dati presenti sul PC (magari scaricati via mail), ma mai il contrario.

Dal punto di vista tecnico, non è un’istanza nuova di sistema operativo, quindi non è una macchina virtuale: Abra si aggancia al sistema fiisicamente installato effettuando appunto un hooking applicativo e intercettando l’esecuzione di codice delle applicazioni rese sicure prima dell’NTDLL. Per saperne di più potete scaricare un datasheet o un documento tecnico sintetico.

Per installare Abra è necessario avere almeno la versione R70.20 della Secure Platform (occhio che in questa versione viene ancora chiamata USB-1, il nome che avrebbe dovuto avere il prodotto), ma è consigliabile utilizzare la R71.

Nulla viene salvato sulla macchina locale e le credenziali dell’utente, le informazioni contenute nei documenti e altri dati riservati continuano a essere protetti, anche se l’unità Abra viene smarrita.

Abra è una soluzione molto flessibile ed intelligente per dare da un lato all’utente aziendale la possibilità di lavorare in sicurezza anche su pc non trusted e non in LAN, e dall’altro alle aziende grande controllo

I difetti? Personalmente non ne ho trovati di significativi se non che sospendendo il computer su cui è in esecuzione il Virtual Desktop, la sessione viene azzerata e se i dati non sono stati salvati vengono persi. E’ prezzo da pagare al momento per lavorare in sicurezza, quindi il consiglio è di impostare un autosave abbastanza frequente.

Le performances potrebbero essere migliori ma assolutamente accettabili.

Il costo (infrastruttura firewall a parte che meriterebbe un discorso a sé) non è bassissimo, ma in rapporto alla qualità del prodotto e in relazione alla novità della tecnologia secondo me è giustificato. Certamente è un prodotto indicato per chi già dispone di firewall Check Point.

Per testare il prodotto:

http://www.wideoffice.it/

Per ulteriori informazioni

http://www.sandisk.com/business-solutions/enterprise/sandisk-and-check-point-abra

http://www.checkpoint.com/products/abra/

Ciao e alla prossima!