Í fyrirtæki okkar, eins og í mörgum öðrum upplýsingatæknifyrirtækjum og ekki svo upplýsingatæknifyrirtækjum, hefur möguleiki á fjaraðgangi verið fyrir hendi í langan tíma og margir starfsmenn nýttu hann af nauðsyn. Með útbreiðslu COVID-19 í heiminum byrjaði upplýsingatæknideildin okkar, samkvæmt ákvörðun stjórnenda fyrirtækisins, að flytja starfsmenn sem komu heim úr utanlandsferðum yfir í fjarvinnu. Já, við byrjuðum að æfa sjálfeinangrun heima strax í byrjun mars, jafnvel áður en hún varð almenn. Um miðjan mars hafði lausnin þegar verið stækkuð fyrir allt fyrirtækið og í lok mars fórum við öll nánast óaðfinnanlega yfir í nýjan fjölda fjarvinnu fyrir alla.
Tæknilega séð, til að innleiða fjaraðgang að netinu, notum við Microsoft VPN (RRAS) - sem eitt af Windows Server hlutverkunum. Þegar þú tengist netinu verða ýmis innri úrræði tiltæk, allt frá deilipunktum, skráadeilingarþjónustu, villuleit til CRM kerfis; fyrir marga er þetta allt sem þeir þurfa fyrir vinnu sína. Fyrir þá sem enn eru með vinnustöðvar á skrifstofunni er RDP aðgangur stilltur í gegnum RDG gáttina.
Hvers vegna valdir þú þessa ákvörðun eða hvers vegna er það þess virði að velja? Vegna þess að ef þú ert nú þegar með lén og aðra innviði frá Microsoft, þá er svarið augljóst, það verður líklegast auðveldara, fljótlegra og ódýrara fyrir upplýsingatæknideildina þína að innleiða það. Þú þarft bara að bæta við nokkrum eiginleikum. Og það verður auðveldara fyrir starfsmenn að stilla Windows íhluti en að hlaða niður og stilla viðbótaraðgangsbiðlara.
Þegar við fáum aðgang að VPN-gáttinni sjálfri og eftir það, þegar við tengjumst vinnustöðvum og mikilvægum vefauðlindum, notum við tvíþætta auðkenningu. Reyndar væri það undarlegt ef við, sem framleiðandi tveggja þátta auðkenningarlausna, notuðum ekki vörur okkar sjálf. Þetta er fyrirtækjastaðall okkar; hver starfsmaður hefur tákn með persónulegu vottorði, sem er notað til að auðkenna á skrifstofuvinnustöðinni fyrir léninu og innri auðlindum fyrirtækisins.
Samkvæmt tölfræði nota meira en 80% upplýsingaöryggisatvika veik eða stolin lykilorð. Þess vegna eykur innleiðing tveggja þátta auðkenningar til muna heildaröryggi fyrirtækisins og auðlinda þess, gerir þér kleift að draga úr hættu á þjófnaði eða giska á lykilorð niður í næstum núll, og einnig tryggja að samskipti eigi sér stað við gildan notanda. Þegar PKI innviði er innleitt er hægt að slökkva algjörlega á auðkenningu lykilorðs.
Frá sjónarhóli HÍ fyrir notandann er þetta kerfi jafnvel einfaldara en að slá inn notandanafn og lykilorð. Ástæðan er sú að ekki þarf lengur að muna flókið lykilorð, ekki þarf að setja límmiða undir lyklaborðið (brýtur í bága við allar hugsanlegar öryggisstefnur), lykilorðinu þarf ekki einu sinni að breyta einu sinni á 90 daga fresti (þó það sé ekki lengur talin besta starfshætti, en víða enn stundað). Notandinn þarf bara að koma með ekki mjög flókið PIN-númer og missa ekki táknið. Táknið sjálft er hægt að búa til í formi snjallkorts sem hægt er að bera með sér í veski. Hægt er að græða RFID merki í táknið og snjallkortið til að fá aðgang að skrifstofuhúsnæði.
PIN-númerið er notað til auðkenningar, til að veita aðgang að lykilupplýsingum og til að framkvæma dulmálsbreytingar og athuganir. Það er ekki skelfilegt að missa táknið þar sem ómögulegt er að giska á PIN-númerið, eftir nokkrar tilraunir verður honum lokað. Á sama tíma verndar snjallkortakubburinn lykilupplýsingar fyrir útdrætti, klónun og öðrum árásum.
Hvað annað?
Ef lausnin á vandamálinu um fjaraðgang frá Microsoft hentar ekki af einhverjum ástæðum, þá geturðu innleitt PKI innviði og stillt tvíþætta auðkenningu með því að nota snjallkortin okkar í ýmsum VDI innviðum (Citrix sýndarforrit og skjáborð, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) og vélbúnaðaröryggiskerfi (PaloAlto, CheckPoint, Cisco) og aðrar vörur.
Sum dæmin voru rædd í fyrri greinum okkar.
Í næstu grein munum við tala um að setja upp OpenVPN með auðkenningu með því að nota vottorð frá MSCA.
Ekki eitt einasta vottorð
Ef að innleiða PKI innviði og kaupa vélbúnaðartæki fyrir hvern starfsmann lítur út fyrir að vera of flókið eða td enginn tæknilegur möguleiki er á að tengja snjallkort, þá er lausn með einskiptis lykilorðum byggð á JAS auðkenningarþjóninum okkar. Sem auðkenningarmenn geturðu notað hugbúnað (Google Authenticator, Yandex Key), vélbúnað (sem samsvarandi RFC, til dæmis JaCarta WebPass). Nánast allar sömu lausnir eru studdar og fyrir snjallkort/tákn. Við ræddum líka um nokkur stillingardæmi í fyrri færslum okkar.
Auðkenningaraðferðir er hægt að sameina, það er að segja með OTP - til dæmis er aðeins hægt að hleypa farsímanotendum inn og klassískar fartölvur/borðtölvur er aðeins hægt að auðkenna með því að nota vottorð á tákni.
Vegna sérstaks eðlis vinnu minnar hafa margir vinir sem ekki eru tæknivæddir nýlega leitað til mín persónulega til að fá aðstoð við að setja upp fjaraðgang. Við gátum því kíkt aðeins á hverjir voru að komast út úr stöðunni og hvernig. Það kom skemmtilega á óvart þegar ekki mjög stór fyrirtæki nota fræg vörumerki, þar á meðal með tveggja þátta auðkenningarlausnum. Það voru líka tilvik, sem komu á óvart í gagnstæða átt, þegar mjög stór og vel þekkt fyrirtæki (ekki upplýsingatækni) mæltu með því að setja upp TeamViewer á skrifstofutölvurnar sínar.
Í núverandi ástandi, sérfræðingar frá fyrirtækinu "Aladdin R.D." mæli með að taka ábyrga nálgun til að leysa vandamál varðandi fjaraðgang að innviðum fyrirtækisins. Við þetta tækifæri, strax í upphafi almennrar sjálfseinangrunarstjórnar, hófum við .
Heimild: www.habr.com