ProHoster > وبلاگ > اداره > "Aladdin R.D" را تجربه کنید. در اجرای دسترسی از راه دور ایمن و مبارزه با COVID-19

"Aladdin R.D" را تجربه کنید. در اجرای دسترسی از راه دور ایمن و مبارزه با COVID-19

در شرکت ما نیز مانند بسیاری دیگر از شرکت های IT و نه چندان فناوری اطلاعات، امکان دسترسی از راه دور از دیرباز وجود داشته است و بسیاری از کارمندان از روی ناچاری از آن استفاده می کردند. با گسترش COVID-19 در جهان، بخش فناوری اطلاعات ما با تصمیم مدیریت شرکت، شروع به انتقال کارمندانی که از سفرهای خارج از کشور بازمی‌گشتند، به کارهای از راه دور کرد. بله، ما از همان اوایل ماه مارس، حتی قبل از تبدیل شدن به جریان اصلی، شروع به تمرین قرنطینه خانگی کردیم. در اواسط ماه مارس، راه حل از قبل برای کل شرکت مقیاس شده بود، و در پایان ماه مارس همه ما تقریباً به طور یکپارچه به حالت جدیدی از کار از راه دور انبوه برای همه تغییر دادیم.

از نظر فنی، برای پیاده سازی دسترسی از راه دور به شبکه، ما از Microsoft VPN (RRAS) - به عنوان یکی از نقش های سرور ویندوز استفاده می کنیم. هنگامی که به شبکه وصل می شوید، منابع داخلی مختلفی در دسترس قرار می گیرند، از اشتراک گذاری، خدمات اشتراک فایل، ردیاب اشکال تا یک سیستم CRM؛ برای بسیاری، این تنها چیزی است که برای کارشان نیاز دارند. برای کسانی که هنوز ایستگاه های کاری در دفتر دارند، دسترسی RDP از طریق دروازه RDG پیکربندی می شود.

چرا این تصمیم را انتخاب کردید یا چرا ارزش انتخاب را دارد؟ زیرا اگر از قبل دامنه و زیرساخت دیگری از مایکروسافت دارید، پاسخ واضح است، به احتمال زیاد اجرای آن برای بخش فناوری اطلاعات شما آسان‌تر، سریع‌تر و ارزان‌تر خواهد بود. فقط باید چند ویژگی اضافه کنید. و پیکربندی اجزای ویندوز برای کارمندان آسان تر از دانلود و پیکربندی کلاینت های دسترسی اضافی خواهد بود.

"Aladdin R.D" را تجربه کنید. در اجرای دسترسی از راه دور ایمن و مبارزه با COVID-19

هنگام دسترسی به دروازه VPN و پس از آن، هنگام اتصال به ایستگاه های کاری و منابع مهم وب، از احراز هویت دو مرحله ای استفاده می کنیم. در واقع، عجیب است که ما به عنوان سازنده راه حل های احراز هویت دو مرحله ای، خودمان از محصولات خود استفاده نکنیم. این استاندارد شرکتی ما است؛ هر کارمند دارای یک نشانه با گواهی شخصی است که برای احراز هویت در ایستگاه کاری اداری به دامنه و منابع داخلی شرکت استفاده می شود.

طبق آمار، بیش از 80 درصد حوادث امنیت اطلاعات از رمزهای عبور ضعیف یا سرقت شده استفاده می کنند. بنابراین، معرفی احراز هویت دو عاملی سطح کلی امنیت شرکت و منابع آن را به شدت افزایش می دهد، به شما امکان می دهد خطر سرقت یا حدس زدن رمز عبور را تقریباً به صفر کاهش دهید و همچنین اطمینان حاصل کنید که ارتباط با یک کاربر معتبر برقرار می شود. هنگام پیاده سازی زیرساخت PKI، احراز هویت رمز عبور را می توان به طور کامل غیرفعال کرد.

از نقطه نظر UI برای کاربر، این طرح حتی ساده تر از وارد کردن ورود و رمز عبور است. دلیل آن این است که دیگر نیازی به به خاطر سپردن یک رمز عبور پیچیده نیست، نیازی به گذاشتن برچسب در زیر صفحه کلید نیست (نقض تمام سیاست های امنیتی قابل تصور)، رمز عبور حتی نیازی به تغییر هر 90 روز یک بار نیست (اگرچه اینطور نیست. مدت طولانی تری به عنوان بهترین عمل در نظر گرفته می شود، اما در بسیاری از مکان ها هنوز تمرین می شود). کاربر فقط باید یک کد پین نه چندان پیچیده ایجاد کند و رمز را گم نکند. خود توکن می تواند به شکل یک کارت هوشمند ساخته شود که می تواند به راحتی در کیف پول حمل شود. برچسب‌های RFID را می‌توان در توکن و کارت هوشمند برای دسترسی به محل‌های اداری کاشت.
کد پین برای احراز هویت، دسترسی به اطلاعات کلیدی و انجام تغییرات و بررسی های رمزنگاری استفاده می شود. از دست دادن توکن ترسناک نیست، زیرا حدس زدن کد پین غیرممکن است؛ پس از چند بار تلاش، مسدود می شود. در عین حال، تراشه کارت هوشمند از اطلاعات کلیدی در برابر استخراج، شبیه سازی و سایر حملات محافظت می کند.

"Aladdin R.D" را تجربه کنید. در اجرای دسترسی از راه دور ایمن و مبارزه با COVID-19

چه چیز دیگری؟

اگر راه حل مشکل دسترسی از راه دور از مایکروسافت به دلایلی مناسب نیست، می توانید یک زیرساخت PKI را پیاده سازی کنید و احراز هویت دو مرحله ای را با استفاده از کارت های هوشمند ما در زیرساخت های مختلف VDI (برنامه ها و دسکتاپ های مجازی Citrix، Citrix ADC، VMware) پیکربندی کنید. Horizon، VMware Unified Gateway، Huawei Fusion) و سیستم های امنیتی سخت افزاری (PaloAlto، CheckPoint، Cisco) و سایر محصولات.

برخی از نمونه ها در مقالات قبلی ما مورد بحث قرار گرفت.

در مقاله بعدی در مورد راه اندازی OpenVPN با احراز هویت با استفاده از گواهینامه های MSCA صحبت خواهیم کرد.

نه حتی یک گواهی

اگر پیاده‌سازی زیرساخت PKI و خرید دستگاه‌های سخت‌افزاری برای هر کارمند بسیار پیچیده به نظر می‌رسد یا مثلاً امکان فنی اتصال کارت هوشمند وجود ندارد، راه‌حلی با رمزهای عبور یک‌بار مصرف بر اساس سرور احراز هویت JAS ما وجود دارد. به عنوان احراز هویت، می توانید از نرم افزار (Google Authenticator، Yandex Key)، سخت افزار (هر RFC مربوطه، به عنوان مثال، JaCarta WebPass) استفاده کنید. تقریباً همه راه حل های مشابه برای کارت های هوشمند / توکن ها پشتیبانی می شوند. ما همچنین در مورد چند نمونه پیکربندی در پست های قبلی خود صحبت کردیم.

روش‌های احراز هویت را می‌توان ترکیب کرد، یعنی توسط OTP - برای مثال، فقط کاربران تلفن همراه می‌توانند اجازه ورود داشته باشند، و لپ‌تاپ‌ها/رومیزی‌های کلاسیک را می‌توان تنها با استفاده از گواهی بر روی یک توکن احراز هویت کرد.

با توجه به ماهیت خاص کار من، اخیراً بسیاری از دوستان غیر فنی شخصاً به من مراجعه کرده اند تا در راه اندازی دسترسی از راه دور کمک بگیرند. بنابراین ما توانستیم نگاهی کوتاه بیاندازیم به اینکه چه کسی و چگونه از این وضعیت خارج می شود. وقتی شرکت‌های نه چندان بزرگ از مارک‌های معروف، از جمله راه‌حل‌های احراز هویت دو مرحله‌ای، استفاده می‌کردند، شگفتی‌های خوشایندی وجود داشت. مواردی نیز وجود داشت که در جهت مخالف، شگفت‌انگیز بود، زمانی که شرکت‌های واقعاً بسیار بزرگ و مشهور (نه IT) به سادگی نصب TeamViewer را بر روی رایانه‌های اداری خود توصیه کردند.

در شرایط فعلی، متخصصان شرکت «علاءالدین ر.د. توصیه می کنیم برای حل مشکلات دسترسی از راه دور به زیرساخت شرکت خود رویکردی مسئولانه داشته باشید. به همین مناسبت، در همان آغاز رژیم عمومی خود انزوا، راه اندازی کردیم کمپین "سازمان کار ایمن از راه دور کارکنان".

منبع: www.habr.com

اضافه کردن نظر