当社では、他の多くの IT 企業およびそれほど IT 企業ではない企業と同様に、リモート アクセスの可能性は長い間存在しており、多くの従業員が必要に迫られてリモート アクセスを使用していました。 新型コロナウイルス感染症が世界的に蔓延する中、当社のIT部門は経営陣の決定により、海外旅行から帰国した従業員をリモートワークに移行し始めました。 はい、私たちは自宅隔離が主流になる前から、19月の初めから自宅隔離を実践し始めました。 XNUMX 月中旬までに、このソリューションはすでに全社に拡張され、XNUMX 月末には全員がほぼシームレスに新しいモードの一斉リモートワークに切り替えました。
技術的には、ネットワークへのリモート アクセスを実装するために、Windows Server の役割の XNUMX つとして Microsoft VPN (RRAS) を使用します。 ネットワークに接続すると、シェアポイント、ファイル共有サービス、バグ トラッカーから CRM システムに至るまで、さまざまな内部リソースが利用可能になり、多くの場合、仕事に必要なのはこれだけです。 オフィスにまだワークステーションがある場合、RDP アクセスは RDG ゲートウェイ経由で構成されます。
この決定を選択した理由、または選択する価値がある理由は何ですか? なぜなら、既に Microsoft のドメインやその他のインフラストラクチャを持っている場合、答えは明白であり、IT 部門にとっては、それを実装する方が簡単、迅速、そして安価になる可能性が高いからです。 いくつかの機能を追加するだけです。 また、従業員にとっては、追加のアクセス クライアントをダウンロードして構成するよりも、Windows コンポーネントを構成する方が簡単になります。
VPN ゲートウェイ自体にアクセスするとき、およびその後、ワークステーションや重要な Web リソースに接続するときに、XNUMX 要素認証を使用します。 確かに、XNUMX 要素認証ソリューションのメーカーである当社が自社製品を使用しないのは奇妙です。 これは当社の企業標準であり、各従業員は個人証明書付きのトークンを持っており、オフィスのワークステーションでドメインおよび会社の内部リソースに対する認証を行うために使用されます。
統計によると、情報セキュリティ インシデントの 80% 以上で、脆弱なパスワードまたは盗まれたパスワードが使用されています。 したがって、XNUMX 要素認証を導入すると、企業とそのリソースの全体的なセキュリティ レベルが大幅に向上し、盗難やパスワード推測のリスクをほぼゼロに減らすことができ、有効なユーザーとの通信が確実に行われるようになります。 PKI インフラストラクチャを実装する場合、パスワード認証を完全に無効にすることができます。
ユーザーの UI の観点から見ると、このスキームはログインとパスワードを入力するよりもさらに簡単です。 その理由は、複雑なパスワードを記憶する必要がなくなり、キーボードの下にステッカーを貼る必要がなく(考えられるすべてのセキュリティ ポリシーに違反します)、パスワードを 90 日に XNUMX 回変更する必要さえないためです(ただし、これは変更の必要はありません)。ベストプラクティスと考えられるようになって久しいですが、多くの場所では今でも実践されています)。 ユーザーはそれほど複雑ではない PIN コードを考え出すだけでよく、トークンを失う必要はありません。 トークン自体はスマート カードの形で作成できるため、財布に入れて持ち歩くのに便利です。 オフィス施設にアクセスするために、RFID タグをトークンとスマート カードに埋め込むことができます。
PIN コードは認証に使用され、キー情報へのアクセスを提供し、暗号化変換とチェックを実行します。PIN コードを推測することは不可能であるため、トークンを紛失しても心配する必要はありません。数回試行するとブロックされます。 同時に、スマート カード チップは重要な情報を抽出、複製、その他の攻撃から保護します。
他に何がありますか?
Microsoft によるリモート アクセスの問題の解決策が何らかの理由で適切でない場合は、PKI インフラストラクチャを実装し、さまざまな VDI インフラストラクチャ (Citrix Virtual Apps and Desktops、Citrix ADC、VMware) でスマート カードを使用して XNUMX 要素認証を構成できます。 Horizon、VMware Unified Gateway、Huawei Fusion)およびハードウェア セキュリティ システム(PaloAlto、CheckPoint、Cisco)およびその他の製品。
いくつかの例については、以前の記事で説明しました。
次の記事では、MSCA の証明書を使用した認証による OpenVPN のセットアップについて説明します。
単なる証明書ではありません
PKI インフラストラクチャの実装と各従業員用のハードウェア デバイスの購入が複雑すぎる場合、またはたとえばスマート カードを接続する技術的な可能性がない場合は、JAS 認証サーバーに基づくワンタイム パスワードを使用したソリューションがあります。 認証システムとして、ソフトウェア (Google Authenticator、Yandex Key)、ハードウェア (JaCarta WebPass などの対応する RFC) を使用できます。 スマート カード/トークンとほぼ同じソリューションがサポートされています。 以前の投稿でもいくつかの構成例について説明しました。
認証方法は OTP によって組み合わせることができます。たとえば、モバイル ユーザーのみを許可し、従来のラップトップ/デスクトップはトークンの証明書を使用してのみ認証できます。
私の仕事の特殊な性質により、最近、多くの技術者以外の友人がリモート アクセスの設定についての支援を求めて個人的に私に連絡をくれました。 そこで私たちは、誰がどのようにしてその状況から抜け出したのかを少しだけ覗くことができました。 XNUMX 要素認証ソリューションなど、それほど大規模でない企業が有名ブランドを使用すると、嬉しい驚きがありました。 また、逆に驚くべきことに、非常に大規模で有名な企業 (IT ではない) が、オフィスのコンピューターに TeamViewer をインストールすることを推奨するケースもありました。
現在の状況では、「Aladdin R.D.」社の専門家が、 企業インフラへのリモート アクセスの問題を解決するために、責任あるアプローチをとることをお勧めします。 この機会に、私たちは一般的な自己隔離体制の最初に、
出所: habr.com