Anns a 'chompanaidh againn, mar a tha ann an iomadh companaidh IT eile agus chan e sin IT, tha cothrom air ruigsinneachd iomallach air a bhith ann airson ùine mhòr, agus chleachd mòran luchd-obrach e a-mach às an fheum. Le sgaoileadh COVID-19 air an t-saoghal, thòisich an roinn IT againn, le co-dhùnadh luchd-stiùiridh na companaidh, a’ gluasad luchd-obrach a bha a’ tilleadh bho thursan thall thairis gu obair iomallach. Seadh, thòisich sinn a’ cleachdadh fèin-aonaranachd dachaigh bho fhìor thoiseach a’ Mhàirt, eadhon mus tàinig e gu bhith na phrìomh-shruth. Ro mheadhan a’ Mhàirt, bha am fuasgladh air a bhith air a sgèileadh don chompanaidh gu lèir mar-thà, agus aig deireadh a’ Mhàirt thionndaidh sinn uile cha mhòr gun fhiosta gu modh ùr de dh’ obair mhòr iomallach airson a h-uile duine.
Gu teicnigeach, gus ruigsinneachd iomallach air an lìonra a chuir an gnìomh, bidh sinn a’ cleachdadh Microsoft VPN (RRAS) - mar aon de na dreuchdan Windows Server. Nuair a cheanglas tu ris an lìonra, bidh grunn ghoireasan a-staigh rim faighinn, bho sharepoints, seirbheisean roinneadh fhaidhlichean, lorgairean bug gu siostam CRM; dha mòran, is e seo a tha a dhìth orra airson an cuid obrach. Dhaibhsan aig a bheil ionadan-obrach fhathast san oifis, tha ruigsinneachd RDP air a rèiteachadh tro gheata RDG.
Carson a thagh thu an co-dhùnadh seo no carson a b’ fhiach a thaghadh? Oir ma tha àrainn agus bun-structar eile agad bho Microsoft mu thràth, tha am freagairt follaiseach, tha coltas ann gum bi e nas fhasa, nas luaithe agus nas saoire don roinn IT agad a chuir an gnìomh. Feumaidh tu dìreach beagan fheartan a chuir ris. Agus bidh e nas fhasa do luchd-obrach co-phàirtean Windows a rèiteachadh na bhith a’ luchdachadh sìos agus a’ rèiteachadh teachdaichean ruigsinneachd a bharrachd.
Nuair a gheibh sinn cothrom air geata VPN fhèin agus às deidh sin, nuair a nì sinn ceangal ri ionadan-obrach agus goireasan lìn cudromach, bidh sinn a’ cleachdadh dearbhadh dà-fhactaraidh. Gu dearbh, bhiodh e neònach mura biodh sinne, mar neach-dèanamh de fhuasglaidhean dearbhaidh dà-fhactaraidh, a 'cleachdadh ar bathar sinn fhìn. Is e seo an inbhe chorporra againn; tha comharra le teisteanas pearsanta aig gach neach-obrach, a thèid a chleachdadh gus dearbhadh aig ionad-obrach na h-oifis don àrainn agus do ghoireasan a-staigh na companaidh.
A rèir staitistig, bidh còrr air 80% de thachartasan tèarainteachd fiosrachaidh a’ cleachdadh faclan-faire lag no air an goid. Mar sin, tha toirt a-steach dearbhadh dà-fhactaraidh a 'meudachadh ìre tèarainteachd iomlan a' chompanaidh agus a stòrasan gu mòr, a 'leigeil leat an cunnart bho ghoid no facal-faire a lùghdachadh gu faisg air neoni, agus cuideachd dèanamh cinnteach gu bheil conaltradh a' tachairt le neach-cleachdaidh dligheach. Nuair a thèid bun-structar PKI a chuir an gnìomh, faodar dearbhadh facal-faire a chuir à comas gu tur.
Bho shealladh UI don neach-cleachdaidh, tha an sgeama seo eadhon nas sìmplidh na bhith a ’dol a-steach do logadh a-steach agus facal-faire. Is e an adhbhar nach fheum facal-faire iom-fhillte a bhith air a chuimhneachadh tuilleadh, chan eil feum air stiogairean a chuir fon mheur-chlàr (a ’dol an-aghaidh a h-uile poileasaidh tèarainteachd a ghabhas smaoineachadh), chan fheum am facal-faire eadhon atharrachadh aon uair gach 90 latha (ged nach eil seo ann. na b’ fhaide air a mheas mar chleachdadh as fheàrr, ach ann an iomadh àite fhathast ga chleachdadh). Feumaidh an neach-cleachdaidh dìreach còd PIN nach eil gu math toinnte a chruthachadh agus gun an comharra a chall. Faodar an comharra fhèin a dhèanamh ann an cruth cairt snasail, a ghabhas a ghiùlan gu goireasach ann am wallet. Faodar tagaichean RFID a chuir a-steach don tòcan agus a’ chairt smart airson faighinn gu togalaichean oifis.
Tha an còd PIN air a chleachdadh airson dearbhadh, gus cothrom a thoirt do phrìomh fhiosrachadh agus gus atharrachaidhean agus sgrùdaidhean criptografach a dhèanamh. Aig an aon àm, bidh a ’chip cairt smart a’ dìon prìomh fhiosrachadh bho tharraing, clonadh agus ionnsaighean eile.
Dè eile?
Mura h-eil am fuasgladh air cùis ruigsinneachd iomallach bho Microsoft freagarrach airson adhbhar air choireigin, faodaidh tu bun-structar PKI a chuir an gnìomh agus dearbhadh dà-fhactaraidh a rèiteachadh a’ cleachdadh ar cairtean snasail ann an grunn bhun-structaran VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) agus siostaman tèarainteachd bathar-cruaidh (PaloAlto, CheckPoint, Cisco) agus toraidhean eile.
Chaidh cuid de na h-eisimpleirean a dheasbad anns na h-artaigilean againn roimhe.
Anns an ath artaigil bruidhnidh sinn mu bhith a’ stèidheachadh OpenVPN le dearbhadh a’ cleachdadh theisteanasan bho MSCA.
Chan e dìreach teisteanas
Ma tha coltas ro iom-fhillte ann a bhith a’ cur an gnìomh bun-structar PKI agus a’ ceannach innealan bathar-cruaidh airson gach neach-obrach no, mar eisimpleir, nach eil comas teicnigeach ann cairt snasail a cheangal, tha fuasgladh ann le faclan-faire aon-ùine stèidhichte air an t-seirbheisiche dearbhaidh JAS againn. Mar luchd-dearbhaidh, faodaidh tu bathar-bog a chleachdadh (Google Authenticator, Yandex Key), bathar-cruaidh (RFC co-fhreagarrach sam bith, mar eisimpleir, JaCarta WebPass). Tha cha mhòr a h-uile gin de na h-aon fhuasglaidhean a’ faighinn taic ri cairtean snasail / comharran. Bhruidhinn sinn cuideachd mu eisimpleirean rèiteachaidh anns na puist a bh’ againn roimhe.
Faodar modhan dearbhaidh a chur còmhla, is e sin, le OTP - mar eisimpleir, chan fhaod ach luchd-cleachdaidh gluasadach a dhol a-steach, agus chan urrainnear coimpiutairean-glùine / deasgaichean clasaigeach a dhearbhadh ach le bhith a’ cleachdadh teisteanas air tòcan.
Air sgàth nàdar sònraichte na h-obrach agam, tha mòran charaidean neo-theicnigeach air tighinn thugam gu pearsanta o chionn ghoirid airson cuideachadh le bhith a’ stèidheachadh ruigsinneachd iomallach. Mar sin b’ urrainn dhuinn beagan sùil a thoirt air cò bha a’ faighinn a-mach às an t-suidheachadh agus ciamar. Bha iongnadh tlachdmhor ann nuair nach eil companaidhean glè mhòr a’ cleachdadh suaicheantasan ainmeil, a’ toirt a-steach fuasglaidhean dearbhaidh dà-fhactaraidh. Bha cùisean ann cuideachd, iongantach an taobh eile, nuair a mhol companaidhean fìor mhòr agus ainmeil (chan e IT) dìreach TeamViewer a chuir a-steach air na coimpiutairean oifis aca.
Anns an t-suidheachadh làithreach, tha eòlaichean bhon chompanaidh "Aladdin RD." moladh dòigh-obrach cunntachail a ghabhail airson fuasgladh fhaighinn air duilgheadasan ruigsinneachd iomallach don bhun-structar corporra agad. Aig an àm seo, aig fìor thoiseach an t-siostam fèin-aonaranachd coitcheann, chuir sinn air bhog .
Source: www.habr.com