Մեր ընկերությունում, ինչպես և շատ այլ ՏՏ և ոչ այնքան ՏՏ ընկերություններում, հեռահար մուտքի հնարավորությունը վաղուց կա, և շատ աշխատակիցներ այն օգտագործում էին անհրաժեշտությունից ելնելով։ Աշխարհում COVID-19-ի տարածման հետ մեկտեղ մեր ՏՏ բաժինը, ընկերության ղեկավարության որոշմամբ, սկսեց արտասահմանյան ուղևորություններից վերադարձող աշխատակիցներին տեղափոխել հեռավար աշխատանքի։ Այո, մենք սկսել ենք տնային ինքնամեկուսացումը կիրառել մարտի սկզբից, նույնիսկ մինչ այն դարձել է հիմնական: Մարտի կեսերին լուծումն արդեն հասցվել էր ամբողջ ընկերությանը, և մարտի վերջին մենք բոլորս գրեթե անխափան անցանք զանգվածային հեռահար աշխատանքի նոր ռեժիմի բոլորի համար:
Տեխնիկապես, ցանցին հեռակա մուտք գործելու համար մենք օգտագործում ենք Microsoft VPN (RRAS)՝ որպես Windows Server դերերից մեկը: Երբ դուք միանում եք ցանցին, հասանելի են դառնում տարբեր ներքին ռեսուրսներ՝ բաժնետոմսերից, ֆայլերի փոխանակման ծառայություններից, սխալների հետագծողներից մինչև CRM համակարգ, շատերի համար սա այն ամենն է, ինչ անհրաժեշտ է իրենց աշխատանքի համար: Նրանց համար, ովքեր դեռ ունեն աշխատատեղեր գրասենյակում, RDP մուտքը կազմաձևվում է RDG դարպասի միջոցով:
Ինչու՞ ընտրեցիք այս որոշումը կամ ինչո՞ւ արժե այն ընտրել: Քանի որ եթե դուք արդեն ունեք տիրույթ և այլ ենթակառուցվածք Microsoft-ից, ապա պատասխանն ակնհայտ է, ամենայն հավանականությամբ ձեր ՏՏ բաժնի համար այն իրականացնելը ավելի հեշտ, արագ և էժան կլինի: Պարզապես պետք է ավելացնել մի քանի առանձնահատկություններ: Եվ աշխատակիցների համար ավելի հեշտ կլինի կարգավորել Windows-ի բաղադրիչները, քան ներբեռնել և կարգավորել լրացուցիչ մուտքի հաճախորդներ:
Բուն VPN դարպաս մուտք գործելիս և դրանից հետո, աշխատանքային կայաններին և կարևոր վեբ ռեսուրսներին միանալիս, մենք օգտագործում ենք երկգործոն նույնականացում: Իսկապես, տարօրինակ կլիներ, եթե մենք, որպես երկու գործոնով վավերացման լուծումներ արտադրող, ինքներս չօգտագործեինք մեր արտադրանքը: Սա մեր կորպորատիվ ստանդարտն է. յուրաքանչյուր աշխատակից ունի անձնական վկայականով նշան, որն օգտագործվում է գրասենյակի աշխատանքային կայանում տիրույթի և ընկերության ներքին ռեսուրսների նույնականացման համար:
Վիճակագրության համաձայն՝ տեղեկատվական անվտանգության միջադեպերի ավելի քան 80%-ն օգտագործում է թույլ կամ գողացված գաղտնաբառեր։ Հետևաբար, երկգործոն նույնականացման ներդրումը մեծապես մեծացնում է ընկերության և նրա ռեսուրսների անվտանգության ընդհանուր մակարդակը, թույլ է տալիս նվազեցնել գողության կամ գաղտնաբառի գուշակման ռիսկը գրեթե զրոյի, ինչպես նաև ապահովել, որ շփումը տեղի ունենա վավեր օգտագործողի հետ: PKI ենթակառուցվածքի ներդրման ժամանակ գաղտնաբառի նույնականացումը կարող է ամբողջությամբ անջատվել:
Օգտագործողի համար UI-ի տեսանկյունից այս սխեման նույնիսկ ավելի պարզ է, քան մուտքի և գաղտնաբառի մուտքագրումը: Պատճառն այն է, որ բարդ գաղտնաբառն այլևս հիշելու կարիք չկա, ստեղնաշարի տակ կպչուն պիտակներ դնելու կարիք չկա (խախտելով բոլոր հնարավոր անվտանգության կանոնները), գաղտնաբառն անգամ 90 օրը մեկ անգամ պետք չէ փոխել (չնայած դա այդպես չէ։ ավելի երկար համարվում է լավագույն փորձը, բայց շատ վայրերում դեռ կիրառվում է): Օգտատիրոջը պարզապես անհրաժեշտ կլինի ոչ այնքան բարդ PIN կոդ ստեղծել և չկորցնել նշանը: Նշանն ինքնին կարող է պատրաստվել խելացի քարտի տեսքով, որը կարելի է հարմար կերպով տեղափոխել դրամապանակով։ RFID պիտակները կարող են տեղադրվել խորհրդանիշի և խելացի քարտի մեջ՝ գրասենյակային տարածքներ մուտք գործելու համար:
PIN կոդը օգտագործվում է նույնականացման, հիմնական տեղեկատվության հասանելիություն ապահովելու և կրիպտոգրաֆիկ փոխակերպումներ ու ստուգումներ կատարելու համար: Նշան կորցնելը սարսափելի չէ, քանի որ անհնար է գուշակել PIN կոդը, մի քանի փորձից հետո այն կարգելափակվի: Միևնույն ժամանակ, խելացի քարտի չիպը պաշտպանում է հիմնական տեղեկատվությունը արդյունահանումից, կլոնավորումից և այլ հարձակումներից:
Էլ ինչ?
Եթե Microsoft-ից հեռակա մուտքի հարցի լուծումը ինչ-ինչ պատճառներով հարմար չէ, ապա դուք կարող եք իրականացնել PKI ենթակառուցվածք և կարգավորել երկգործոն նույնականացումը՝ օգտագործելով մեր խելացի քարտերը տարբեր VDI ենթակառուցվածքներում (Citrix Virtual Apps and Desktops, Citrix ADC, VMware): Horizon, VMware Unified Gateway, Huawei Fusion) և ապարատային անվտանգության համակարգեր (PaloAlto, CheckPoint, Cisco) և այլ ապրանքներ:
Օրինակներից մի քանիսը քննարկվել են մեր նախորդ հոդվածներում:
Հաջորդ հոդվածում մենք կխոսենք նույնականացման միջոցով OpenVPN-ի ստեղծման մասին՝ օգտագործելով MSCA-ի վկայագրերը:
Ոչ մի վկայագիր
Եթե PKI ենթակառուցվածքի ներդրումը և յուրաքանչյուր աշխատակցի համար ապարատային սարքեր գնելը չափազանց բարդ է թվում կամ, օրինակ, խելացի քարտը միացնելու տեխնիկական հնարավորություն չկա, ապա կա լուծում մեկանգամյա գաղտնաբառերով՝ հիմնված մեր JAS վավերացման սերվերի վրա: Որպես իսկորոշիչներ՝ դուք կարող եք օգտագործել ծրագրակազմ (Google Authenticator, Yandex Key), սարքաշար (ցանկացած համապատասխան RFC, օրինակ՝ JaCarta WebPass): Աջակցվում են գրեթե բոլոր նույն լուծումները, ինչ խելացի քարտերի/նշանների համար: Մենք նաև խոսեցինք մեր նախորդ գրառումներում որոշ կոնֆիգուրացիայի օրինակների մասին:
Նույնականացման մեթոդները կարող են համակցվել, այսինքն՝ OTP-ով, օրինակ՝ միայն շարժական օգտատերերին կարող են թույլատրել մուտք գործել, իսկ դասական դյուրակիր համակարգիչները/սեղանները կարող են վավերացվել միայն վկայագրի միջոցով:
Իմ աշխատանքի առանձնահատկությունից ելնելով, շատ ոչ տեխնիկական ընկերներ վերջերս անձամբ են դիմել ինձ՝ հեռակա հասանելիությունը կարգավորելու հարցում օգնության համար: Այսպիսով, մենք կարողացանք մի փոքր հայացք նետել, թե ով և ինչպես է դուրս գալիս իրավիճակից: Հաճելի անակնկալներ եղան, երբ ոչ շատ խոշոր ընկերություններն օգտագործում են հայտնի բրենդներ, այդ թվում՝ երկու գործոն վավերացման լուծումներով։ Եղել են նաև հակառակ ուղղությամբ զարմանալի դեպքեր, երբ իսկապես շատ խոշոր և հայտնի ընկերությունները (ոչ ՏՏ) խորհուրդ են տվել պարզապես տեղադրել TeamViewer-ը իրենց գրասենյակային համակարգիչների վրա։
Ստեղծված իրավիճակում «Aladdin R.D.» ընկերության մասնագետները: խորհուրդ են տալիս պատասխանատու մոտեցում ցուցաբերել ձեր կորպորատիվ ենթակառուցվածքի հեռահար մուտքի խնդիրների լուծման համար: Այս առիթով համընդհանուր ինքնամեկուսացման ռեժիմի հենց սկզբում մենք գործարկեցինք .
Source: www.habr.com