Şirkətimizdə, bir çox digər İT şirkətlərində olduğu kimi, uzaqdan giriş imkanı çoxdan mövcud idi və bir çox işçi zərurətdən istifadə etdi. Dünyada COVID-19-un yayılması ilə İT departamentimiz şirkət rəhbərliyinin qərarı ilə xaricə səfərlərdən qayıdan işçilərin distant işə köçürülməsinə başladı. Bəli, biz evdə özünü təcrid etməni mart ayının əvvəlindən, hətta əsas hala gəlməmişdən əvvəl tətbiq etməyə başladıq. Martın ortalarına qədər həll artıq bütün şirkətə yayıldı və martın sonunda biz hamımız demək olar ki, problemsiz olaraq hamı üçün yeni kütləvi uzaqdan iş rejiminə keçdik.
Texniki olaraq, şəbəkəyə uzaqdan girişi həyata keçirmək üçün biz Windows Server rollarından biri kimi Microsoft VPN (RRAS) istifadə edirik. Şəbəkəyə qoşulduqda, müxtəlif daxili resurslar, paylaşım nöqtələrindən, fayl paylaşma xidmətlərindən, səhv izləyicilərindən CRM sisteminə qədər əlçatan olur; bir çoxları üçün bu, onların işi üçün lazım olan hər şeydir. Ofisdə hələ də iş stansiyaları olanlar üçün RDP girişi RDG şlüz vasitəsilə konfiqurasiya edilir.
Niyə bu qərarı seçdiniz və ya niyə seçməyə dəyər? Çünki əgər sizin artıq Microsoft-dan domeniniz və digər infrastrukturunuz varsa, o zaman cavab göz qabağındadır, çox güman ki, İT departamentiniz üçün bunu həyata keçirmək daha asan, daha sürətli və daha ucuz olacaq. Sadəcə bir neçə xüsusiyyət əlavə etməlisiniz. Və işçilər üçün Windows komponentlərini konfiqurasiya etmək əlavə giriş müştərilərini yükləmək və konfiqurasiya etməkdən daha asan olacaq.
VPN şlüzünün özünə daxil olduqda və sonra iş stansiyalarına və vacib veb resurslarına qoşulduqda biz iki faktorlu autentifikasiyadan istifadə edirik. Həqiqətən də, iki faktorlu autentifikasiya həlləri istehsalçısı olaraq məhsullarımızı özümüz istifadə etməsək, qəribə olardı. Bu, bizim korporativ standartımızdır; hər bir işçinin ofis iş stansiyasında domenə və şirkətin daxili resurslarına autentifikasiya etmək üçün istifadə olunan şəxsi sertifikatı olan nişanı var.
Statistikaya görə, informasiya təhlükəsizliyi insidentlərinin 80%-dən çoxu zəif və ya oğurlanmış parollardan istifadə olunur. Buna görə də, iki faktorlu autentifikasiyanın tətbiqi şirkətin və onun resurslarının ümumi təhlükəsizlik səviyyəsini xeyli artırır, oğurluq və ya parol təxmin etmə riskini demək olar ki, sıfıra endirməyə imkan verir, həmçinin etibarlı istifadəçi ilə ünsiyyətin olmasını təmin edir. PKI infrastrukturunu həyata keçirərkən parol identifikasiyası tamamilə söndürülə bilər.
İstifadəçi üçün UI baxımından bu sxem giriş və parol daxil etməkdən daha sadədir. Səbəb odur ki, mürəkkəb parolu artıq yadda saxlamaq lazım deyil, klaviaturanın altına stikerlər qoymağa ehtiyac yoxdur (bütün ağla gələn təhlükəsizlik siyasətlərini pozmaqla), parolun hətta 90 gündə bir dəfə dəyişdirilməsinə ehtiyac yoxdur (baxmayaraq ki, bu artıq ən yaxşı təcrübə hesab olunur, lakin bir çox yerlərdə hələ də tətbiq olunur). İstifadəçi sadəcə çox mürəkkəb olmayan PİN kodu tapmalı və nişanı itirməməlidir. Tokenin özü cüzdanda rahat daşına bilən smart kart şəklində hazırlana bilər. RFID etiketləri ofis binalarına daxil olmaq üçün token və smart karta implantasiya edilə bilər.
PIN kod autentifikasiya, əsas məlumatlara çıxışı təmin etmək və kriptoqrafik transformasiya və yoxlamaları həyata keçirmək üçün istifadə olunur.Tokeni itirmək qorxulu deyil, çünki PİN kodu tapmaq mümkün deyil, bir neçə cəhddən sonra bloklanacaq. Eyni zamanda, smart kart çipi əsas məlumatları çıxarma, klonlaşdırma və digər hücumlardan qoruyur.
Başqa?
Microsoft-dan uzaqdan giriş məsələsinin həlli nədənsə uyğun deyilsə, onda siz PKI infrastrukturunu tətbiq edə və müxtəlif VDI infrastrukturlarında (Citrix Virtual Apps və Desktops, Citrix ADC, VMware) smart kartlarımızdan istifadə edərək iki faktorlu autentifikasiyanı konfiqurasiya edə bilərsiniz. Horizon, VMware Unified Gateway, Huawei Fusion) və hardware təhlükəsizlik sistemləri (PaloAlto, CheckPoint, Cisco) və digər məhsullar.
Bəzi nümunələr əvvəlki məqalələrimizdə müzakirə edilmişdir.
Növbəti məqalədə MSCA sertifikatlarından istifadə edərək autentifikasiya ilə OpenVPN qurmaq haqqında danışacağıq.
Bir dənə də sertifikat yoxdur
Əgər PKI infrastrukturunun tətbiqi və hər bir işçi üçün aparat vasitələrinin alınması çox mürəkkəb görünürsə və ya məsələn, smart kartı qoşmaq üçün texniki imkan yoxdursa, JAS autentifikasiya serverimizə əsaslanan birdəfəlik parollarla həll yolu var. Autentifikatorlar olaraq proqram təminatından (Google Authenticator, Yandex Açar), aparatdan (hər hansı müvafiq RFC, məsələn, JaCarta WebPass) istifadə edə bilərsiniz. Demək olar ki, bütün eyni həllər smart kartlar/tokenlər üçün olduğu kimi dəstəklənir. Əvvəlki yazılarımızda bəzi konfiqurasiya nümunələri haqqında da danışdıq.
Doğrulama üsulları birləşdirilə bilər, yəni OTP ilə - məsələn, yalnız mobil istifadəçilərə icazə verilə bilər və klassik noutbuklar/masaüstü kompüterlər yalnız nişandakı sertifikatdan istifadə etməklə autentifikasiya edilə bilər.
İşimin spesifik xüsusiyyətinə görə, bir çox texniki olmayan dostlar uzaqdan girişin qurulmasında kömək üçün şəxsən mənə müraciət etdilər. Beləliklə, kimin vəziyyətdən necə çıxdığına bir az nəzər sala bildik. Çox böyük olmayan şirkətlər məşhur markalardan, o cümlədən iki faktorlu autentifikasiya həllərindən istifadə etdikdə xoş sürprizlər oldu. Əks istiqamətdə təəccüblü hallar da var idi ki, həqiqətən çox böyük və tanınmış şirkətlər (İT deyil) sadəcə TeamViewer-i ofis kompüterlərində quraşdırmağı tövsiyə etdilər.
Mövcud vəziyyətdə "Ələddin R.D." şirkətinin mütəxəssisləri. korporativ infrastrukturunuza uzaqdan giriş problemlərinin həllinə məsuliyyətlə yanaşmağı tövsiyə edir. Bu münasibətlə, biz ümumi özünütəcrid rejiminin ən başlanğıcında başladıq .
Mənbə: www.habr.com