Gure enpresan, informatikako beste enpresa askotan eta ez hain informatikoan bezala, urruneko sarbidea izateko aukera aspalditik dago, eta langile askok nahitaez erabiltzen zuten. COVID-19 munduan hedatzearekin batera, gure informatika saila, konpainiako zuzendaritzaren erabakiz, atzerrira bidaietatik itzultzen ziren langileak urrutiko lanera eramaten hasi zen. Bai, martxo hasieratik hasi ginen etxeko autoisolamendua lantzen, nagusi bihurtu aurretik ere. Martxoaren erdialderako, irtenbidea enpresa osora zabalduta zegoen jada, eta martxoaren amaieran denok ia ezin hobeto aldatu ginen guztiontzako urruneko lan masiboko modu berri batera.
Teknikoki, sarerako urruneko sarbidea ezartzeko, Microsoft VPN (RRAS) erabiltzen dugu - Windows Server roletako bat bezala. Sarera konektatzen zarenean, hainbat barne baliabide eskuragarri egongo dira, partekatzeko puntuetatik, fitxategiak partekatzeko zerbitzuetatik, akatsen jarraitzaileetaraino CRM sistema batera; askorentzat, hau da beren lanerako behar duten guztia. Lanpostuak oraindik bulegoan dituztenentzat, RDP sarbidea RDG atebidearen bidez konfiguratzen da.
Zergatik aukeratu duzu erabaki hau edo zergatik merezi du aukeratzeak? Dagoeneko Microsoft-en domeinua eta beste azpiegitura bat baduzu, erantzuna begi-bistakoa da, ziurrenik zure IT departamentuarentzat errazago, azkarrago eta merkeagoa izango da inplementatzea. Ezaugarri batzuk gehitu besterik ez duzu behar. Eta langileentzat errazagoa izango da Windows osagaiak konfiguratzea sarbide-bezero osagarriak deskargatzea eta konfiguratzea baino.
VPN atebidean bertan sartzean eta ondoren, lan-estazioetara eta web-baliabide garrantzitsuetara konektatzean, bi faktoreko autentifikazioa erabiltzen dugu. Izan ere, arraroa izango litzateke guk, bi faktoreko autentifikazio-soluzioen fabrikatzaile gisa, gure produktuak guk geuk erabili ez bagenitu. Hau da gure estandar korporatiboa; langile bakoitzak ziurtagiri pertsonal batekin token bat dauka, bulegoko lantokian domeinuarekin eta enpresaren barne baliabideekin autentifikatzeko erabiltzen dena.
Estatistiken arabera, informazioaren segurtasuneko gertaeren % 80k baino gehiagok pasahitz ahulak edo lapurtutakoak erabiltzen dituzte. Hori dela eta, bi faktoreko autentifikazioa sartzeak asko handitzen du konpainiaren eta bere baliabideen segurtasun maila orokorra, lapurreta edo pasahitza asmatzeko arriskua ia zerora murrizteko aukera ematen du eta, gainera, baliozko erabiltzaile batekin komunikazioa gertatzen dela ziurtatzen du. PKI azpiegitura bat ezartzean, pasahitzaren autentifikazioa erabat desgaitu daiteke.
Erabiltzailearen interfazearen ikuspuntutik, eskema hau saio-hasiera eta pasahitza sartzea baino errazagoa da. Arrazoia da pasahitz konplexu bat jada ez dela gogoratu behar, ez dago eranskailuak teklatuaren azpian jarri beharrik (uste daitezkeen segurtasun-politika guztiak urratuz), pasahitza ez dela 90 egunean behin ere aldatu behar (hau ez den arren. jada praktika onak hartzen dira, baina leku askotan oraindik praktikatzen dira). Erabiltzaileak PIN kode ez oso konplikatu bat atera beharko du eta tokena ez galtzea. Tokena bera txartel adimendun baten moduan egin daiteke, zorro batean eroso eraman daitekeena. RFID etiketak token eta txartel adimendunean jar daitezke bulegoko lokaletara sartzeko.
PIN kodea autentifikaziorako, gako-informaziorako sarbidea emateko eta eraldaketa eta egiaztapen kriptografikoak egiteko erabiltzen da.Tokena galtzea ez da beldurgarria, ezinezkoa baita PIN kodea asmatzea; saiakera batzuk egin ondoren, blokeatu egingo da. Aldi berean, txartel adimendunen txipak funtsezko informazioa babesten du erauzketa, klonazio eta bestelako erasoetatik.
Zer gehiago?
Microsoft-en urruneko sarbidearen arazoaren irtenbidea arrazoiren batengatik egokia ez bada, orduan PKI azpiegitura bat ezar dezakezu eta bi faktoreko autentifikazioa konfigura dezakezu gure txartel adimendunak erabiliz VDI azpiegitura ezberdinetan (Citrix Virtual Apps and Desktops, Citrix ADC, VMware). Horizon, VMware Unified Gateway, Huawei Fusion) eta hardwarearen segurtasun sistemak (PaloAlto, CheckPoint, Cisco) eta beste produktu batzuk.
Adibide batzuk gure aurreko artikuluetan eztabaidatu ziren.
Hurrengo artikuluan MSCAren ziurtagiriak erabiliz OpenVPN autentifikazioarekin konfiguratzeari buruz hitz egingo dugu.
Ziurtagiri bakar bat ere ez
PKI azpiegitura bat ezartzea eta langile bakoitzaren hardware gailuak erostea konplikatuegia badirudi edo, adibidez, txartel adimendun bat konektatzeko aukera teknikorik ez badago, bada gure JAS autentifikazio zerbitzarian oinarritutako pasahitzak behin-behineko irtenbide bat. Autentifikatzaile gisa, softwarea (Google Authenticator, Yandex Key), hardwarea (dagokion edozein RFC, adibidez, JaCarta WebPass) erabil ditzakezu. Txartel adimendunen/tokenen ia soluzio berdinak onartzen dira. Gure aurreko mezuetan konfigurazio adibide batzuei buruz ere hitz egin dugu.
Autentifikazio-metodoak konbinatu daitezke, hau da, OTP bidez - adibidez, mugikorreko erabiltzaileak soilik sar daitezke eta ordenagailu eramangarri/mahai klasikoak token baten ziurtagiria erabiliz soilik autentifikatu daitezke.
Nire lanaren izaera zehatza dela eta, teknikoak ez diren lagun asko niregana hurbildu dira duela gutxi urruneko sarbidea konfiguratzeko laguntza eske. Beraz, egoeratik nor eta nola ateratzen zen begiradatxo bat eman ahal izan genuen. Sorpresa atseginak izan ziren enpresa handiek marka ospetsuak erabiltzen zituztenean, bi faktoreko autentifikazio irtenbideekin barne. Kasuak ere izan ziren, harrigarriak kontrako norabidean, benetan oso enpresa handi eta ezagunek (ez IT) TeamViewer beren bulegoko ordenagailuetan instalatzea gomendatu zutenean.
Egungo egoeran, "Aladdin R.D." enpresako espezialistak. gomendatu zure azpiegitura korporatiborako urruneko sarbidearen arazoak konpontzeko ikuspegi arduratsua hartzea. Oraingo honetan, autoisolamendu orokorraren erregimenaren hasieran, martxan jarri genuen .
Iturria: www.habr.com