Ing perusahaan kita, kaya ing pirang-pirang perusahaan IT liyane lan dudu perusahaan IT, kemungkinan akses remot wis suwe, lan akeh karyawan nggunakake amarga kabutuhan. Kanthi panyebaran COVID-19 ing saindenging jagad, departemen IT kita, kanthi keputusan manajemen perusahaan, wiwit mindhah karyawan sing bali saka lelungan menyang luar negeri menyang kerja sing adoh. Ya, kita wiwit praktik mandhiri ing omah wiwit awal Maret, sanajan sadurunge dadi mainstream. Ing pertengahan Maret, solusi kasebut wis disedhiyakake kanggo kabeh perusahaan, lan ing pungkasan Maret, kita kabeh meh lancar ngalih menyang mode kerja remot massa anyar kanggo kabeh wong.
Secara teknis, kanggo ngetrapake akses remot menyang jaringan, kita nggunakake Microsoft VPN (RRAS) - minangka salah sawijining peran Windows Server. Nalika sampeyan nyambung menyang jaringan, macem-macem sumber daya internal kasedhiya, saka sharepoints, layanan enggo bareng file, pelacak bug kanggo sistem CRM; kanggo akeh, iki kabeh sing perlu kanggo karya. Kanggo sing isih duwe workstation ing kantor, akses RDP dikonfigurasi liwat gateway RDG.
Napa sampeyan milih keputusan iki utawa kenapa sampeyan kudu milih? Amarga yen sampeyan wis duwe domain lan infrastruktur liyane saka Microsoft, mula jawabane jelas, mesthine bakal luwih gampang, luwih cepet lan luwih murah kanggo departemen IT sampeyan ngetrapake. Sampeyan mung kudu nambah sawetara fitur. Lan bakal luwih gampang kanggo karyawan ngatur komponen Windows tinimbang ngundhuh lan ngatur klien akses tambahan.
Nalika ngakses gateway VPN dhewe lan sakwise, nalika nyambung menyang workstations lan sumber web penting, kita nggunakake otentikasi loro-faktor. Pancen, aneh yen kita, minangka produsen solusi otentikasi rong faktor, ora nggunakake produk kita dhewe. Iki standar perusahaan kita; saben karyawan duwe token karo sertifikat pribadi, sing digunakake kanggo otentikasi ing stasiun kerja kantor menyang domain lan sumber daya internal perusahaan.
Miturut statistik, luwih saka 80% kedadeyan keamanan informasi nggunakake sandhi sing lemah utawa dicolong. Mulane, introduksi saka otentikasi loro-faktor nemen nambah tingkat sakabèhé saka keamanan perusahaan lan sumber daya, ngijini sampeyan kanggo ngurangi risiko nyolong utawa sandi guessing meh nul, lan uga mesthekake yen komunikasi ana karo pangguna bener. Nalika ngleksanakake infrastruktur PKI, otentikasi sandhi bisa dipateni kabeh.
Saka sudut pandang UI kanggo pangguna, skema iki luwih gampang tinimbang ngetik login lan sandhi. Alesane yaiku tembung sandhi sing kompleks ora perlu dieling-eling maneh, ora perlu masang stiker ing keyboard (nglanggar kabeh kabijakan keamanan sing bisa dibayangake), tembung sandhi kasebut ora perlu diganti saben 90 dina (sanajan ora ana. maneh dianggep paling laku, nanging ing akeh panggonan isih praktek). Pangguna mung kudu nggawe kode PIN sing ora rumit lan ora ilang token kasebut. Token kasebut dhewe bisa digawe ing wangun kertu pinter, sing bisa digawa kanthi gampang ing dompet. Tag RFID bisa ditanem menyang token lan kertu pinter kanggo akses menyang papan kantor.
Kode PIN digunakake kanggo otentikasi, kanggo nyedhiyakake akses menyang informasi kunci lan kanggo nindakake transformasi kriptografis lan mriksa. Ing wektu sing padha, chip kertu pinter nglindhungi informasi kunci saka ekstraksi, kloning lan serangan liyane.
opo maneh?
Yen solusi kanggo masalah akses remot saka Microsoft ora cocog kanggo sawetara alasan, mula sampeyan bisa ngleksanakake infrastruktur PKI lan ngatur otentikasi rong faktor nggunakake kertu cerdas kita ing macem-macem infrastruktur VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) lan sistem keamanan hardware (PaloAlto, CheckPoint, Cisco) lan produk liyane.
Sawetara conto wis dibahas ing artikel sadurunge.
Ing artikel sabanjure kita bakal ngomong babagan nyetel OpenVPN kanthi otentikasi nggunakake sertifikat saka MSCA.
Ora mung sertifikat
Yen ngleksanakake infrastruktur PKI lan tuku piranti hardware kanggo saben karyawan katon rumit banget utawa, contone, ora ana kamungkinan teknis kanggo nyambungake kertu pinter, banjur ana solusi karo sandhi siji-wektu adhedhasar server otentikasi JAS kita. Minangka authenticator, sampeyan bisa nggunakake piranti lunak (Google Authenticator, Yandex Key), hardware (RFC apa wae sing cocog, contone, JaCarta WebPass). Meh kabeh solusi padha didhukung kanggo kertu pinter / token. Kita uga ngomong babagan sawetara conto konfigurasi ing kiriman sadurunge.
Cara otentikasi bisa digabungake, yaiku, kanthi OTP - umpamane, mung pangguna seluler sing bisa diidini mlebu, lan laptop / desktop klasik bisa dikonfirmasi mung nggunakake sertifikat ing token.
Amarga sifat tartamtu saka karyaku, akeh kanca non-teknis sing bubar nyedhaki aku kanthi pribadi kanggo bantuan nyetel akses remot. Dadi kita bisa ndeleng sethithik sapa sing metu saka kahanan kasebut lan kepiye carane. Ana kejutan sing nyenengake nalika perusahaan sing ora gedhe banget nggunakake merek terkenal, kalebu solusi otentikasi rong faktor. Ana uga kasus, kaget ing arah ngelawan, nalika tenan gedhe banget lan perusahaan kondhang (ora IT) dianjurake mung nginstal TeamViewer ing komputer kantor.
Ing kahanan saiki, spesialis saka perusahaan "Aladdin R.D." nyaranake njupuk pendekatan sing tanggung jawab kanggo ngrampungake masalah akses remot menyang infrastruktur perusahaan sampeyan. Ing kesempatan iki, ing wiwitan rezim ngisolasi diri umum, kita diluncurake .
Source: www.habr.com