Yn ein cwmni, fel mewn llawer o gwmnïau TG eraill ac nid felly TG, mae'r posibilrwydd o fynediad o bell wedi bodoli ers amser maith, ac roedd llawer o weithwyr yn ei ddefnyddio o reidrwydd. Gyda lledaeniad COVID-19 yn y byd, dechreuodd ein hadran TG, trwy benderfyniad rheolwyr y cwmni, drosglwyddo gweithwyr sy'n dychwelyd o deithiau dramor i waith o bell. Do, fe ddechreuon ni ymarfer hunan-ynysu gartref o ddechrau mis Mawrth, hyd yn oed cyn iddo ddod yn brif ffrwd. Erbyn canol mis Mawrth, roedd yr ateb eisoes wedi'i raddio i'r cwmni cyfan, ac ar ddiwedd mis Mawrth fe wnaethom ni i gyd newid bron yn ddi-dor i ddull newydd o waith anghysbell torfol i bawb.
Yn dechnegol, i weithredu mynediad o bell i'r rhwydwaith, rydym yn defnyddio Microsoft VPN (RRAS) - fel un o rolau Windows Server. Pan fyddwch chi'n cysylltu â'r rhwydwaith, mae adnoddau mewnol amrywiol ar gael, o sharepoints, gwasanaethau rhannu ffeiliau, tracwyr bygiau i system CRM; i lawer, dyma'r cyfan sydd ei angen arnynt ar gyfer eu gwaith. I'r rhai sy'n dal i fod â gweithfannau yn y swyddfa, mae mynediad i'r Cynllun Datblygu Gwledig wedi'i ffurfweddu trwy'r porth RDG.
Pam wnaethoch chi ddewis y penderfyniad hwn neu pam ei fod yn werth ei ddewis? Oherwydd os oes gennych chi barth a seilwaith arall eisoes gan Microsoft, yna mae'r ateb yn amlwg, mae'n debygol y bydd yn haws, yn gyflymach ac yn rhatach i'ch adran TG ei weithredu. Does ond angen i chi ychwanegu ychydig o nodweddion. A bydd yn haws i weithwyr ffurfweddu cydrannau Windows na lawrlwytho a ffurfweddu cleientiaid mynediad ychwanegol.
Wrth gyrchu porth VPN ei hun ac wedi hynny, wrth gysylltu â gweithfannau ac adnoddau gwe pwysig, rydym yn defnyddio dilysu dau ffactor. Yn wir, byddai'n rhyfedd pe na baem ni, fel gwneuthurwr datrysiadau dilysu dau ffactor, yn defnyddio ein cynnyrch ein hunain. Dyma ein safon gorfforaethol; mae gan bob gweithiwr docyn gyda thystysgrif bersonol, a ddefnyddir i ddilysu yng ngorsaf waith y swyddfa i'r parth ac i adnoddau mewnol y cwmni.
Yn ôl yr ystadegau, mae mwy nag 80% o ddigwyddiadau diogelwch gwybodaeth yn defnyddio cyfrineiriau gwan neu wedi'u dwyn. Felly, mae cyflwyno dilysu dau ffactor yn cynyddu lefel gyffredinol diogelwch y cwmni a'i adnoddau yn fawr, yn eich galluogi i leihau'r risg o ddwyn neu ddyfalu cyfrinair i bron sero, a hefyd sicrhau bod cyfathrebu'n digwydd gyda defnyddiwr dilys. Wrth weithredu seilwaith PKI, gellir analluogi dilysu cyfrinair yn llwyr.
O safbwynt UI y defnyddiwr, mae'r cynllun hwn hyd yn oed yn symlach na mynd i mewn i fewngofnodi a chyfrinair. Y rheswm yw nad oes angen cofio cyfrinair cymhleth mwyach, nid oes angen rhoi sticeri o dan y bysellfwrdd (gan dorri'r holl bolisïau diogelwch posibl), nid oes angen newid y cyfrinair hyd yn oed unwaith bob 90 diwrnod (er nad yw hyn yn wir. yn arfer gorau a ystyrir yn hwy, ond mewn llawer o leoedd yn dal i gael ei ymarfer). Bydd angen i'r defnyddiwr greu cod PIN nad yw'n gymhleth iawn a pheidio â cholli'r tocyn. Gellir gwneud y tocyn ei hun ar ffurf cerdyn smart, y gellir ei gario'n gyfleus mewn waled. Gellir mewnblannu tagiau RFID yn y tocyn a'r cerdyn smart ar gyfer mynediad i swyddfeydd.
Defnyddir y cod PIN ar gyfer dilysu, i ddarparu mynediad i wybodaeth allweddol ac i berfformio trawsnewidiadau cryptograffig a gwiriadau.Nid yw colli'r tocyn yn frawychus, gan ei bod yn amhosibl dyfalu'r cod PIN; ar ôl ychydig o ymdrechion, bydd yn cael ei rwystro. Ar yr un pryd, mae'r sglodion cerdyn smart yn amddiffyn gwybodaeth allweddol rhag echdynnu, clonio ac ymosodiadau eraill.
Beth arall?
Os nad yw'r ateb i fater mynediad o bell gan Microsoft yn addas am ryw reswm, yna gallwch chi weithredu seilwaith PKI a ffurfweddu dilysiad dau ffactor gan ddefnyddio ein cardiau smart mewn amrywiol seilweithiau VDI (Citrix Virtual Apps a Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) a systemau diogelwch caledwedd (PaloAlto, CheckPoint, Cisco) a chynhyrchion eraill.
Trafodwyd rhai o'r enghreifftiau yn ein herthyglau blaenorol.
Yn yr erthygl nesaf byddwn yn siarad am sefydlu OpenVPN gyda dilysiad gan ddefnyddio tystysgrifau gan MSCA.
Nid un dystysgrif
Os yw gweithredu seilwaith PKI a phrynu dyfeisiau caledwedd ar gyfer pob gweithiwr yn edrych yn rhy gymhleth neu, er enghraifft, nad oes posibilrwydd technegol o gysylltu cerdyn smart, yna mae datrysiad gyda chyfrineiriau un-amser yn seiliedig ar ein gweinydd dilysu JAS. Fel dilyswyr, gallwch ddefnyddio meddalwedd (Google Authenticator, Yandex Key), caledwedd (unrhyw RFC cyfatebol, er enghraifft, JaCarta WebPass). Mae bron pob un o'r un atebion yn cael eu cefnogi ag ar gyfer cardiau smart / tocynnau. Buom hefyd yn siarad am rai enghreifftiau cyfluniad yn ein swyddi blaenorol.
Gellir cyfuno dulliau dilysu, hynny yw, trwy OTP - er enghraifft, dim ond defnyddwyr ffonau symudol y gellir eu caniatáu i mewn, a dim ond trwy ddefnyddio tystysgrif ar docyn y gellir dilysu gliniaduron/penbwrdd clasurol.
Oherwydd natur benodol fy ngwaith, mae llawer o ffrindiau annhechnegol wedi dod ataf yn bersonol yn ddiweddar am gymorth i sefydlu mynediad o bell. Felly roeddem yn gallu cymryd cipolwg bach ar bwy oedd yn dod allan o'r sefyllfa a sut. Cafwyd syrpréis pleserus pan nad yw cwmnïau mawr iawn yn defnyddio brandiau enwog, gan gynnwys datrysiadau dilysu dau ffactor. Roedd yna achosion hefyd, sy'n syndod i'r cyfeiriad arall, pan argymhellodd cwmnïau mawr iawn ac adnabyddus (nid TG) osod TeamViewer ar eu cyfrifiaduron swyddfa.
Yn y sefyllfa bresennol, mae arbenigwyr o'r cwmni "Aladdin R.D." argymell cymryd agwedd gyfrifol at ddatrys problemau mynediad o bell i'ch seilwaith corfforaethol. Ar yr achlysur hwn, ar gychwyn cyntaf y drefn hunan-ynysu gyffredinol, fe wnaethom lansio .
Ffynhonnell: hab.com