У нашай кампаніі, як і ў шматлікіх іншых ІТ-і не вельмі ІТ-кампаніях, магчымасць выдаленага доступу існавала даўно, і па неабходнасці ім карысталіся шматлікія супрацоўнікі. З распаўсюджваннем жа COVID-19 у свеце наш IT-аддзел па рашэнні кіраўніцтва кампаніі пачаў перакладаць на выдаленне супрацоўнікаў, якія вярнуліся з замежных паездак. Так, хатнюю самаізаляцыю мы сталі практыкаваць з самага пачатку сакавіка, яшчэ да таго, як гэта стала мэйнстрымам. Да сярэдзіны сакавіка рашэнне ўжо было маштабавана на ўсю кампанію, а ў канцы сакавіка мы ўсё практычна бясшвоўна перайшлі на новы для ўсіх рэжым масавай выдаленай працы.
Тэхнічна, для рэалізацыі выдаленага доступу ў сетку ў нас выкарыстоўваецца Microsoft VPN (RRAS) - як адна з роляў Windows Server. Пры падлучэнні да сеткі становяцца даступныя розныя ўнутраныя рэсурсы ад шейрпоинтов, файлаабменнікаў, багтрэкераў да CRM-сістэмы, шматлікім для працы хапае толькі гэтага. Для тых, у каго ў офісе засталіся працоўныя станцыі, наладжаны RDP-доступ праз RDG-шлюз.
Чаму выбар упаў на гэтае рашэнне ці чаму яго варта абраць? Таму што калі ў вас ужо ёсць дамен і іншая інфраструктура ад Microsoft, то адказ відавочны, вашаму ІТ-аддзелу хутчэй за ўсё будзе прасцей, хутчэй і танней яго рэалізаваць. Трэба проста дадаць некалькі фіч. А супрацоўнікам будзе лягчэй наладзіць кампаненты Windows, чым спампоўваць і наладжваць дадатковыя кліенты доступу.
Пры доступе на сам VPN-шлюз і пасля, пры падлучэнні да працоўных станцый і да важных вэб-рэсурсаў, мы выкарыстоўваем двухфактарную аўтэнтыфікацыю. Сапраўды, было б дзіўна, калі б мы як вытворца рашэнняў па двухфактарнай аўтэнтыфікацыі не карысталіся б сваімі прадуктамі самі. Гэта наш карпаратыўны стандарт, у кожнага супрацоўніка ёсць токен з асабістым сертыфікатам, па якім адбываецца аўтэнтыфікацыя на офіснай працоўнай станцыі ў дамен і да ўнутраных рэсурсаў кампаніі.
Па статыстыцы, больш за 80% інцыдэнтаў інфармацыйнай бяспекі выкарыстоўваюць слабыя або скрадзеныя паролі. Таму ўкараненне двухфактарнай аўтэнтыфікацыі моцна падвышае агульны ўзровень абароненасці кампаніі і яе рэсурсаў, дазваляе практычна да нуля зменшыць рызыку крадзяжу ці падбору пароля, а таксама гарантаваць, што зносіны адбываюцца менавіта з валідным карыстачом. Пры ўкараненні інфраструктуры PKI аўтэнтыфікацыю па паролях можна ўвогуле адключыць.
З пункта гледжання UI для карыстача такая схема нават прасцейшая, чым увод лагіна і пароля. Чыннік у тым, што складаны пароль зараз не трэба запамінаць, не трэба ляпіць стыкеры пад клавіятуру (парушаючы ўсе мажлівыя і неймаверныя палітыкі бяспекі), пароль нават не трэба змяняць раз у 90 дзён (хоць гэта ўжо і не лічыцца лепшымі практыкамі, але шмат дзе усё роўна практыкуецца). Карыстальніку трэба будзе проста прыдумаць не вельмі складаны PIN-код і не страціць токен. Сам токен ж можа быць выкананы ў выглядзе смарт-карты, якую можна зручна насіць у паперніку. У токен і смарт-карту могуць быць імплантаваны RFID-пазнакі для доступу ў офісныя памяшканні.
PIN-код выкарыстоўваецца пры аўтэнтыфікацыі, для падавання доступу да ключавой інфармацыі і выкананні крыптаграфічных пераўтварэнняў і праверак, страціць токен не страшна, бо падабраць PIN-код немагчыма, праз некалькі спроб адбудзецца блакіроўка. Пры гэтым смарт-картачны чып абараняе ключавую інфармацыю ад вымання, кланавання і іншых нападаў.
Што яшчэ?
Калі рашэнне пытання па выдаленым доступе ад Microsoft па нейкім чынніку не падыходзіць, тое ўкараніць інфраструктуру PKI і наладзіць двухфактарную аўтэнтыфікацыю па нашых смарт-картах можна ў розныя VDI-інфраструктуры (Citrix Virtual Apps & Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) і апаратныя комплексы бяспекі (PaloAlto, CheckPoint, Cisco) і іншыя прадукты.
Некаторыя з прыкладаў разглядаліся ў тым ліку і ў папярэдніх артыкулах.
У наступным артыкуле раскажам аб наладзе OpenVPN c аўтэнтыфікацыяй па сертыфікатах з MSCA.
Ня сертыфікатам адзіным
Калі ўкараненне PKI-інфраструктуры і закуп апаратных прылад для кожнага супрацоўніка выглядае занадта складана ці, напрыклад, няма тэхнічнай магчымасці падлучэння смарт-карты, гэта значыць рашэнне з аднаразовымі паролямі на аснове нашага сервера аўтэнтыфікацыі JAS. У якасці аўтэнтыфікатараў можна выкарыстоўваць праграмныя (Google Authenticator, Яндэкс Ключ), апаратны (любы які адпавядае RFC, напрыклад, JaCarta WebPass). Падтрымліваюцца практычна ўсё тыя ж рашэнні, што і для смарт-карт/токенаў. Пра некаторыя прыклады настройкі мы таксама расказвалі ў нашых мінулых пастах.
Спосабы аўтэнтыфікацыі можна камбінаваць, гэта значыць па OTP - пускаць, напрыклад, толькі мабільных карыстачоў, а класічныя наўтбукі/дэсктопы аўтэнтыфікаваць толькі па сертыфікаце на токене.
З прычыны спецыфікі працы асабіста да мяне за апошні час звярталіся многія нетэхнічныя сябры за дапамогай у наладзе аддаленага доступу. Так што ўдалося крыху падглядзець, хто і як выходзіць са становішча. Былі прыемныя здзіўленні, калі не вельмі вялікія кампаніі выкарыстоўваюць знакамітыя брэнды, у тым ліку і з рашэннямі па двухфактарнай аўтэнтыфікацыі. Былі таксама і выпадкі, якія дзівяць у зваротны бок, калі сапраўды вельмі вялікія і шырока вядомыя кампаніі (не ІТ) рэкамендавалі проста ўсталяваць TeamViewer на свае офісныя кампутары.
У сітуацыі, якая склалася спецыялісты кампаніі «Аладзін Р.Д.» рэкамендуюць адказна ставіцца да рашэння праблем выдаленага доступу да вашай карпаратыўнай інфраструктуры. З гэтай нагоды ў самым пачатку рэжыму агульнай самаізаляцыі мы запусцілі .
Крыніца: habr.com