Біздің компанияда, көптеген басқа АТ компанияларындағы сияқты, қашықтан қол жеткізу мүмкіндігі бұрыннан бар және көптеген қызметкерлер оны қажеттіліктен пайдаланды. Әлемде COVID-19 таралуына байланысты біздің IT департаменті компания басшылығының шешімімен шетелге сапардан оралған қызметкерлерді қашықтан жұмысқа ауыстыра бастады. Иә, біз үйде оқшаулануды наурыздың басынан бастап, ол негізгі ағымға айналғанға дейін бастадық. Наурыз айының ортасына қарай шешім бүкіл компанияға таралып үлгерді, ал наурыз айының соңында біз барлығымыз дерлік барлығы үшін жаппай қашықтан жұмыс істеудің жаңа режиміне ауыстық.
Техникалық тұрғыдан алғанда, желіге қашықтан қол жеткізуді жүзеге асыру үшін біз Windows Server рөлдерінің бірі ретінде Microsoft VPN (RRAS) қолданамыз. Желіге қосылған кезде ортақ нүктелерден, файлдарды ортақ пайдалану қызметтерінен, қателерді бақылаушылардан CRM жүйесіне дейін әртүрлі ішкі ресурстар қолжетімді болады; көпшілігі үшін бұл олардың жұмысы үшін қажет нәрсе. Кеңседе әлі жұмыс станциялары бар адамдар үшін RDP қатынасы RDG шлюзі арқылы конфигурацияланады.
Неліктен бұл шешімді таңдадыңыз немесе неге таңдау керек? Өйткені сізде Microsoft корпорациясының домені және басқа инфрақұрылымы бар болса, онда жауап анық, IT бөлімшеңізге оны енгізу оңайырақ, жылдамырақ және арзанырақ болады. Сізге бірнеше мүмкіндіктерді қосу жеткілікті. Ал қызметкерлерге Windows құрамдастарын конфигурациялау қосымша кіру клиенттерін жүктеп алу және конфигурациялаудан гөрі оңайырақ болады.
VPN шлюзінің өзіне қол жеткізген кезде және одан кейін жұмыс станциялары мен маңызды веб-ресурстарға қосылу кезінде біз екі факторлы аутентификацияны қолданамыз. Шынында да, егер біз екі факторлы аутентификация шешімдерін өндіруші ретінде өз өнімдерімізді өзіміз пайдаланбағанымыз таңқаларлық болар еді. Бұл біздің корпоративтік стандартымыз; әрбір қызметкердің кеңсе жұмыс станциясында доменге және компанияның ішкі ресурстарына аутентификациялау үшін пайдаланылатын жеке сертификаты бар таңбалауышы бар.
Статистикаға сәйкес, ақпараттық қауіпсіздік оқиғаларының 80% -дан астамы әлсіз немесе ұрланған құпия сөздерді пайдаланады. Сондықтан, екі факторлы аутентификацияны енгізу компанияның және оның ресурстарының қауіпсіздігінің жалпы деңгейін айтарлықтай арттырады, ұрлық немесе құпия сөзді болжау қаупін нөлге дейін төмендетуге мүмкіндік береді, сонымен қатар жарамды пайдаланушымен байланыстың болуын қамтамасыз етеді. PKI инфрақұрылымын енгізу кезінде құпия сөздің аутентификациясын толығымен өшіруге болады.
Пайдаланушы үшін UI тұрғысынан бұл схема логин мен парольді енгізуден де оңайырақ. Себебі, күрделі құпия сөзді енді есте сақтаудың қажеті жоқ, пернетақтаның астына стикерлер қоюдың қажеті жоқ (барлық болжамды қауіпсіздік саясатын бұзады), парольді тіпті 90 күнде бір рет өзгерту қажет емес (бірақ бұл мүмкін емес ұзағырақ ең жақсы тәжірибе болып саналады, бірақ көптеген жерлерде әлі де қолданылады). Пайдаланушы жай ғана күрделі емес PIN-кодты ойлап тауып, таңбалауышты жоғалтпауы керек. Токеннің өзін әмиянда ыңғайлы алып жүруге болатын смарт-карта түрінде жасауға болады. Кеңсе үй-жайларына кіру үшін RFID тегтерін токенге және смарт-картаға имплантациялауға болады.
PIN-код аутентификация үшін, негізгі ақпаратқа қол жеткізуді қамтамасыз ету үшін және криптографиялық түрлендірулер мен тексерулерді орындау үшін пайдаланылады.Токенді жоғалту қорқынышты емес, өйткені PIN-кодты табу мүмкін емес, бірнеше әрекеттен кейін ол блокталады. Бұл ретте смарт-карта чипі негізгі ақпаратты экстракциядан, клондаудан және басқа шабуылдардан қорғайды.
Тағы да не?
Егер Microsoft корпорациясынан қашықтан қол жеткізу мәселесінің шешімі қандай да бір себептермен қолайлы болмаса, онда сіз PKI инфрақұрылымын енгізе аласыз және әртүрлі VDI инфрақұрылымдарында (Citrix Virtual Apps және Desktops, Citrix ADC, VMware) смарт карталарымызды пайдаланып екі факторлы аутентификацияны конфигурациялай аласыз. Horizon, VMware Unified Gateway, Huawei Fusion) және аппараттық қауіпсіздік жүйелері (PaloAlto, CheckPoint, Cisco) және басқа да өнімдер.
Кейбір мысалдар біздің алдыңғы мақалаларымызда талқыланды.
Келесі мақалада біз MSCA сертификаттары арқылы аутентификация арқылы OpenVPN орнату туралы айтатын боламыз.
Бірде-бір сертификат жоқ
Егер PKI инфрақұрылымын енгізу және әрбір қызметкер үшін аппараттық құрылғыларды сатып алу тым күрделі болып көрінсе немесе, мысалы, смарт-картаны қосудың техникалық мүмкіндігі болмаса, JAS аутентификация серверіне негізделген бір реттік құпия сөздермен шешім бар. Аутентификаторлар ретінде бағдарламалық құралды (Google Authenticator, Yandex Key), аппараттық құралдарды (кез келген сәйкес RFC, мысалы, JaCarta WebPass) пайдалануға болады. Смарт-карталар/токендер сияқты барлық дерлік бірдей шешімдерге қолдау көрсетіледі. Біз сондай-ақ алдыңғы жазбаларымызда конфигурацияның кейбір мысалдары туралы айтқан болатынбыз.
Аутентификация әдістерін біріктіруге болады, яғни OTP арқылы - мысалы, тек ұялы телефон пайдаланушыларына ғана рұқсат етілуі мүмкін, ал классикалық ноутбуктер/үстел компьютерлері тек токендегі сертификат арқылы аутентификациялануы мүмкін.
Менің жұмысымның ерекшелігіне байланысты, жақын арада көптеген техникалық емес достар қашықтан қол жеткізуді орнатуға көмектесу үшін маған жеке хабарласты. Осылайша, біз бұл жағдайдан кім және қалай шығып жатқанын аздап байқадық. Өте үлкен емес компаниялар әйгілі брендтерді, соның ішінде екі факторлы аутентификация шешімдерін пайдаланған кезде жағымды тосынсыйлар болды. Қарама-қарсы бағытта таңқаларлық жағдайлар болды, шын мәнінде өте үлкен және әйгілі компаниялар (IT емес) кеңсе компьютерлеріне TeamViewer орнатуды ұсынған.
Қазіргі жағдайда «Аладдин Р.Д.» компаниясының мамандары. корпоративтік инфрақұрылымыңызға қашықтан қол жеткізу мәселелерін шешуге жауапкершілікпен қарауды ұсыныңыз. Осыған орай, біз жалпы оқшаулау режимінің ең басында іске қостық .
Ақпарат көзі: www.habr.com