Blog Thin Client Expert: Vijf tips om een thin client-omgeving nog veiliger te maken

Edwin_de_Ron_IGEL

Security is een van de redenen dat organisaties voor thin clients kiezen - en gelijk hebben ze! Met alle toepassingen en gegevens op een centrale server is de beveiliging een stuk beter en gemakkelijker te regelen, terwijl de beheerkosten lager zijn. Het spreekt voor zich dat er ook aandachtspunten zijn: vijf tips om een thin client-omgeving nog veiliger te maken dan die al is.

1. Kies voor thin clients gebaseerd op Linux

Net zoals pc’s hebben ook thin clients een besturingssysteem. Dit is ofwel op Windows ofwel op Linux gebaseerd. Linux is qua beveiliging de betere keuze. Waarom? Heel simpel: negen van de tien aanvallen van cybercriminelen richten zich op Windows. Als organisatie moet je dus vaker updates uitvoeren om beschermd te blijven als je Windows Embedded thin clients gebruikt.

Met Windows is de kans op besmetting via thuisgebruik bovendien veel groter. Microsoft geeft zelf aan dat heel veel mensen thuis gebruikmaken van illegale versies van hun software, dus zonder automatische updates en patches. Bovendien is het gebruik van antivirusprogramma’s in de huiselijke omgeving nog niet echt ingeburgerd, om over de noodzaak tot het continu updaten hiervan maar niet te spreken. Medewerkers die op de zaak met hun op Windows gebaseerde thin client inloggen op Facebook of hun privémail kunnen zo gemakkelijk een virus overbrengen. Bij thin clients met Linux is dit niet mogelijk: de op Windows gerichte virussen hebben er geen vat op. Dat betekent dat de focus van de beveiliging zich vooral kan richten op de back-end.

2. Limiteer de rechten van gebruikers

Als beheerder wil je natuurlijk niet dat eindgebruikers zelf leuke of handige -  en wellicht zeer onveilige - programma’s op je thin client-omgeving installeren. Daarom een kort en simpel advies: houd de rechten van eindgebruikers zo beperkt mogelijk. Waarom meer opties bieden dan het aanzetten van de thin client en toegang krijgen tot de centrale server als dat niet nodig is? Met een ‘write filter’ is dat eenvoudig te regelen.

3. Beperk het gebruik van USB-devices

Het gebruik van externe USB-devices brengt twee risico’s met zich mee. Het eerste risico is dat eindgebruikers ‘voor de zekerheid’ vaak een eigen kopie maken van de data waar ze mee werken. Op dat moment ben je als organisatie de controle over je gegevens kwijt -  zeker als het gaat om gevoelige data, wil je dat te allen tijde voorkomen. Het tweede risico is dat er met een USB-stick een virus of andere malware kan worden  overgedragen.

Door het gebruik van USB-devices te beperken, is het mogelijk om deze risico’s te minimaliseren. Een goede oplossing is bijvoorbeeld om gebruikers in drie groepen te verdelen: een groep voor wie alle externe USB-poorten dicht zijn, een groep van vertrouwde personen voor wie alle poorten openstaan en een groep die enkel USB-devices mag gebruiken van een bepaald merk, met een goede (authenticatie)beveiliging.

Nog even voor alle duidelijkheid: deze aanpak is niet nodig bij op Linux gebaseerde thin clients omdat de kans op besmetting via USB-devices nihil is (zie tip 1).

4. Verhoog de toegangsbeveiliging

Natuurlijk is het ook belangrijk om te zorgen dat niet iedereen ‘zomaar’ op de thin client-omgeving kan inloggen. Om de toegang voldoende te beschermen, is het aan te raden om naast een wachtwoord ook gebruik te maken van een tweede authenticatiemiddel.

Die extra authenticatie kan je bijvoorbeeld bieden met de traditionele combinatie van een smart card en een smart card reader of via een speciale USB-token.  Maar ook technologieën voor vingerafdrukbiometrie zijn tegenwoordig beschikbaar voor de beveiliging van thin clients. Daarbij krijgen geautoriseerde gebruikers via vingerafdrukherkenning eenvoudig én veilig toegang tot hun eigen virtuele desktop op de thin client.

5. Houd het netwerkverkeer veilig

Tot slot is er nog het punt van de verbindingen: wat als hackers het netwerkverkeer binnen de thin client-omgeving aftappen? Om te beginnen een geruststelling. Als het goed is, beperkt dat verkeer zich voornamelijk tot de muisbewegingen en toetsenbordaanslagen van de thin clients. Wie de toegang extra heeft beveiligd (zie tip 4), hoeft zich daar dus geen zorgen over te maken. De echte data blijven ondertussen veilig in de centrale omgeving. Wordt er met gegevens van USB-devices gewerkt, dan gaan die wel over de lijn. Zijn dit zeer vertrouwelijke of bedrijfskritische data, dan is het een optie om de verbindingen te beveiligen met encryptie. In de praktijk is dit echter meestal niet nodig.

Voor de verbinding met het internet ligt het een beetje anders. Om hacks en andere ellende te voorkomen, kun je gebruikers het beste internettoegang bieden via de centrale omgeving. Wie op een thin client bijvoorbeeld een instructievideo of webcast via YouTube wil bekijken, verwacht echter wel dat dit vloeiend gaat. Afhankelijk van de bandbreedte en de inrichting van de infrastructuur, kan dat een probleem zijn als de internettoegang centraal geregeld is.

Gelukkig is ook daar een oplossing voor: met een gebruikersnaam en een wachtwoord puur voor internet kun je gebruikers direct vanaf hun thin client veilig laten surfen op het web. Met nog een bijkomend voordeel: alle lokale data worden gewist op het moment dat een thin client opnieuw wordt opgestart.

Edwin de Ron is Sales Manager bij IGEL Technology Nederland