Yrityksessämme, kuten monissa muissa IT- ja ei niin IT-yrityksissä, etäkäyttömahdollisuus on ollut olemassa jo pitkään, ja monet työntekijät käyttivät sitä pakosta. COVID-19:n leviämisen myötä IT-osastomme alkoi yrityksen johdon päätöksellä siirtää ulkomaanmatkoilta palaavia työntekijöitä etätöihin. Kyllä, aloimme harjoittaa kodin eristäytymistä maaliskuun alusta, jo ennen kuin siitä tuli valtavirtaa. Maaliskuun puoliväliin mennessä ratkaisu oli skaalattu jo koko yritykselle ja maaliskuun lopussa siirryimme lähes saumattomasti uuteen massaetätyömuotoon kaikille.
Teknisesti etäkäytön toteuttamiseksi verkkoon käytämme Microsoft VPN:ää (RRAS) - yhtenä Windows Server -rooleista. Kun muodostat yhteyden verkkoon, saataville tulee erilaisia sisäisiä resursseja sharepointeista, tiedostonjakopalveluista, vianseurantaohjelmista CRM-järjestelmään, monille tämä riittää työhönsä. Niille, joilla on vielä työasemia toimistossa, RDP-käyttö konfiguroidaan RDG-yhdyskäytävän kautta.
Miksi valitsit tämän päätöksen tai miksi se kannattaa valita? Koska jos sinulla on jo Microsoftin toimialue ja muu infrastruktuuri, vastaus on ilmeinen, IT-osastosi on todennäköisesti helpompaa, nopeampaa ja halvempaa toteuttaa se. Sinun tarvitsee vain lisätä muutamia ominaisuuksia. Ja työntekijöiden on helpompi määrittää Windows-komponentteja kuin ladata ja määrittää lisäkäyttöasiakkaita.
Itse VPN-yhdyskäytävään käytettäessä ja sen jälkeen yhdistäessämme työasemia ja tärkeitä verkkoresursseja käytämme kaksivaiheista todennusta. Olisi todellakin outoa, jos me kaksivaiheisten todennusratkaisujen valmistajana emme käyttäisi tuotteitamme itse. Tämä on yritysstandardimme; jokaisella työntekijällä on henkilökohtainen varmenne, jota käytetään toimiston työaseman todentamiseen toimialueelle ja yrityksen sisäisiin resursseihin.
Tilastojen mukaan yli 80 % tietoturvaloukkauksista käyttää heikkoja tai varastettuja salasanoja. Siksi kaksivaiheisen todennuksen käyttöönotto lisää huomattavasti yrityksen ja sen resurssien yleistä turvallisuustasoa, mahdollistaa varkauden tai salasanan arvaamisen riskin pienentämisen lähes nollaan ja varmistaa myös, että viestintä tapahtuu kelvollisen käyttäjän kanssa. PKI-infrastruktuuria toteutettaessa salasanatodennus voidaan poistaa kokonaan käytöstä.
Käyttäjän käyttöliittymän näkökulmasta tämä järjestelmä on jopa yksinkertaisempi kuin kirjautumistunnuksen ja salasanan syöttäminen. Syynä on se, että monimutkaista salasanaa ei enää tarvitse muistaa, näppäimistön alle ei tarvitse laittaa tarroja (rikkoo kaikkia ajateltavissa olevia suojauskäytäntöjä), salasanaa ei tarvitse vaihtaa edes kerran 90 päivässä (vaikka tämä ei ole pidetty parhaimpana käytäntönä, mutta monissa paikoissa sitä edelleen harjoitetaan). Käyttäjän on vain keksittävä ei kovin monimutkainen PIN-koodi, eikä hän menetä merkkiä. Itse token voidaan tehdä älykortin muodossa, jota voi kätevästi kuljettaa lompakossa. RFID-tunnisteet voidaan istuttaa tokeniin ja älykorttiin toimistotiloihin pääsyä varten.
PIN-koodia käytetään todentamiseen, avaintietoihin pääsyyn sekä salausmuunnoksiin ja -tarkistuksiin. Tunnusluvun menettäminen ei ole pelottavaa, koska PIN-koodia on mahdotonta arvata, muutaman yrityksen jälkeen se lukittuu. Samalla älykorttisiru suojaa keskeisiä tietoja poimimiselta, kloonaukselta ja muilta hyökkäyksiltä.
Mitä muuta?
Jos ratkaisu Microsoftin etäkäyttöön ei jostain syystä sovi, voit toteuttaa PKI-infrastruktuurin ja määrittää kaksivaiheisen todennuksen älykorteillamme erilaisissa VDI-infrastruktuureissa (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) ja laitteistoturvajärjestelmät (PaloAlto, CheckPoint, Cisco) ja muita tuotteita.
Joitakin esimerkkejä käsiteltiin aiemmissa artikkeleissamme.
Seuraavassa artikkelissa puhumme OpenVPN:n määrittämisestä todennuksen kanssa käyttämällä MSCA:n varmenteita.
Ei yhtäkään todistusta
Jos PKI-infrastruktuurin toteuttaminen ja laitteiden hankinta jokaiselle työntekijälle näyttää liian monimutkaiselta tai esimerkiksi älykortin liittämiseen ei ole teknistä mahdollisuutta, on olemassa JAS-tunnistuspalvelimeemme perustuva ratkaisu kertakäyttöisillä salasanoilla. Todentajina voit käyttää ohjelmistoja (Google Authenticator, Yandex Key), laitteistoa (mitä tahansa vastaavaa RFC:tä, esimerkiksi JaCarta WebPass). Lähes kaikki samat ratkaisut ovat tuettuja kuin älykortit/tokenit. Puhuimme myös joistakin kokoonpanoesimerkeistä aiemmissa viesteissämme.
Todennusmenetelmiä voidaan yhdistää, eli OTP:llä - esimerkiksi vain mobiilikäyttäjät voidaan päästää sisään ja klassiset kannettavat/pöytäkoneet voidaan todentaa vain tunnuksella olevalla varmenteella.
Työni erityisluonteen vuoksi monet ei-tekniset ystävät ovat viime aikoina pyytäneet minua henkilökohtaisesti etäkäytön määrittämisessä. Joten saimme hieman kurkistaa, kuka selvisi tilanteesta ja miten. Oli iloisia yllätyksiä, kun eivät kovin suuret yritykset käyttävät kuuluisia brändejä, mukaan lukien kaksitekijätodennusratkaisuilla. Oli myös päinvastaiseen suuntaan yllättäviä tapauksia, kun todella suuret ja tunnetut yritykset (ei IT) suosittelivat yksinkertaisesti TeamViewerin asentamista toimistotietokoneisiinsa.
Nykyisessä tilanteessa asiantuntijat yrityksestä "Aladdin R.D." suosittelemme ottamaan vastuullisen lähestymistavan yrityksesi infrastruktuurin etäkäyttöön liittyvien ongelmien ratkaisemiseen. Tässä yhteydessä, aivan yleisen itseeristysjärjestelmän alussa, käynnistimme .
Lähde: will.com