Опыт «Аладдин Р.Д.» в реализации защищённого удалённого доступа и борьбе с COVID-19

В нашей компании, как и во многих других ИТ- и не очень ИТ-компаниях, возможность удалённого доступа существовала давно, и по необходимости им пользовались многие сотрудники. С распространением же COVID-19 в мире наш IT-отдел по решению руководства компании начал переводить на удалёнку сотрудников, вернувшихся из зарубежных поездок. Да, домашнюю самоизоляцию мы стали практиковать с самого начала марта, ещё до того, как это стало мейнстримом. К середине марта решение уже было масштабировано на всю компанию, а в конце марта мы все практически бесшовно перешли на новый для всех режим массовой удалённой работы.

Технически, для реализации удалённого доступа в сеть у нас используется Microsoft VPN (RRAS) – как одна из ролей Windows Server. При подключении к сети становятся доступны различные внутренние ресурсы от шейрпоинтов, файлообменников, багтрекеров до CRM-системы, многим для работы хватает только этого. Для тех, у кого в офисе остались рабочие станции, настроен RDP-доступ через RDG-шлюз.

Почему выбор пал на это решение или почему его стоит выбрать? Потому что если у вас уже есть домен и другая инфраструктура от Microsoft, то ответ очевиден, вашему ИТ-отделу скорее всего будет проще, быстрее и дешевле его реализовать. Нужно просто добавить несколько фич. А сотрудникам будет легче настроить компоненты Windows, чем скачивать и настраивать дополнительные клиенты доступа.

При доступе на сам VPN-шлюз и после, при подключении к рабочим станциям и к важным веб-ресурсам, мы используем двухфакторную аутентификацию. Действительно, было бы странно, если бы мы как производитель решений по двухфакторной аутентификации не пользовались бы своими продуктами сами. Это наш корпоративный стандарт, у каждого сотрудника есть токен с личным сертификатом, по которому происходит аутентификация на офисной рабочей станции в домен и ко внутренним ресурсам компании.

По статистике, более 80% инцидентов информационной безопасности используют слабые или украденные пароли. Поэтому внедрение двухфакторной аутентификации сильно повышает общий уровень защищённости компании и её ресурсов, позволяет практически до нуля снизить риск кражи или подбора пароля, а также гарантировать, что общение происходит именно с валидным пользователем. При внедрении инфраструктуры PKI аутентификацию по паролям можно вообще отключить.

С точки зрения UI для пользователя такая схема даже более проста, чем ввод логина и пароля. Причина в том, что сложный пароль теперь не нужно запоминать, не нужно клеить стикеры под клавиатуру (нарушая все мыслимые и немыслимые политики безопасности), пароль даже не нужно менять раз в 90 дней (хотя это уже и не считается лучшими практиками, но много где всё равно практикуется). Пользователю нужно будет просто придумать не очень сложный PIN-код и не потерять токен. Сам токен же может быть выполнен в виде смарт-карты, которую можно удобно носить в бумажнике. В токен и смарт-карту могут быть имплантированы RFID-метки для доступа в офисные помещения.
PIN-код используется при аутентификации, для предоставления доступа к ключевой информации и выполнения криптографических преобразований и проверок, потерять токен не страшно, так как подобрать PIN-код невозможно, через несколько попыток произойдёт блокировка. При этом смарт-карточный чип защищает ключевую информацию от извлечения, клонирования и других атак.

Что ещё?

Если решение вопроса по удалённому доступу от Microsoft по какой-то причине не подходит, то внедрить инфраструктуру PKI и настроить двухфакторную аутентификацию по нашим смарт-картам можно в различные VDI-инфраструктуры (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) и аппаратные комплексы безопасности (PaloAlto, CheckPoint, Cisco) и другие продукты.

Некоторые из примеров рассматривались в том числе и в наших предыдущих статьях.

В следующей статье расскажем о настройке OpenVPN c аутентификацией по сертификатам из MSCA.

Не сертификатом единым

Если внедрение PKI-инфраструктуры и закупка аппаратных устройств для каждого сотрудника выглядит слишком сложно или, например, нет технической возможности подключения смарт-карты, то есть решение с одноразовыми паролями на основе нашего сервера аутентификации JAS. В качестве аутентификаторов можно использовать программные (Google Authenticator, Яндекс Ключ), аппаратный (любой соответствующий RFC, например, JaCarta WebPass). Поддерживаются практически все те же решения, что и для смарт-карт/токенов. О некоторых примерах настройки мы также рассказывали в наших прошлых постах.

Способы аутентификации можно комбинировать, то есть по OTP – пускать, например, только мобильных пользователей, а классические ноутбуки/десктопы аутентифицировать только по сертификату на токене.

Ввиду специфики работы лично ко мне за последнее время обращались многие нетехнические друзья за помощью в настройке удалённого доступа. Так что удалось немного подсмотреть, кто и как выходит из положения. Были приятные удивления, когда не очень большие компании используют именитые бренды, в том числе и с решениями по двухфакторной аутентификации. Были также и случаи, удивляющие в обратную сторону, когда действительно очень большие и широко известные компании (не ИТ) рекомендовали просто установить TeamViewer на свои офисные компьютеры.

В сложившейся ситуации специалисты компании «Аладдин Р.Д.» рекомендуют ответственно относиться к решению проблем удалённого доступа к вашей корпоративной инфраструктуре. По этому случаю в самом начале режима общей самоизоляции мы запустили акцию «Организация безопасной удалённой работы сотрудников».

Источник: habr.com