Pieredze "Aladdin R.D." ieviešot drošu attālo piekļuvi un apkarojot Covid-19

Mūsu uzņēmumā, tāpat kā daudzos citos IT un ne tik IT uzņēmumos, attālinātās piekļuves iespēja pastāv jau ilgu laiku, un daudzi darbinieki to izmantoja nepieciešamības pēc. Līdz ar COVID-19 izplatību pasaulē, mūsu IT nodaļa ar uzņēmuma vadības lēmumu sāka darbiniekus, kas atgriežas no ārzemju braucieniem, pārcelt uz attālinātu darbu. Jā, mēs sākām praktizēt mājas pašizolāciju no paša marta sākuma, pat pirms tā kļuva par galveno. Līdz marta vidum risinājums jau bija mērogots visam uzņēmumam, un marta beigās mēs visi gandrīz nemanāmi pārgājām uz jaunu masveida attālinātā darba režīmu ikvienam.

Tehniski, lai ieviestu attālo piekļuvi tīklam, mēs izmantojam Microsoft VPN (RRAS) - kā vienu no Windows Server lomām. Kad izveidojat savienojumu ar tīklu, kļūst pieejami dažādi iekšējie resursi, sākot no koplietošanas punktiem, failu koplietošanas pakalpojumiem, kļūdu izsekotājiem un beidzot ar CRM sistēmu; daudziem tas ir viss, kas nepieciešams darbam. Tiem, kuriem birojā joprojām ir darbstacijas, RDP piekļuve tiek konfigurēta caur RDG vārteju.

Kāpēc izvēlējāties šo lēmumu vai kāpēc ir vērts izvēlēties? Jo, ja jums jau ir domēns un cita infrastruktūra no Microsoft, tad atbilde ir acīmredzama, visticamāk, jūsu IT nodaļai to būs vieglāk, ātrāk un lētāk ieviest. Jums vienkārši jāpievieno dažas funkcijas. Un darbiniekiem būs vieglāk konfigurēt Windows komponentus, nevis lejupielādēt un konfigurēt papildu piekļuves klientus.

Piekļūstot pašai VPN vārtejai un pēc tam, pieslēdzoties darbstacijām un svarīgiem tīmekļa resursiem, mēs izmantojam divu faktoru autentifikāciju. Patiešām, būtu dīvaini, ja mēs kā divu faktoru autentifikācijas risinājumu ražotājs paši neizmantotu savus produktus. Šis ir mūsu korporatīvais standarts; katram darbiniekam ir marķieris ar personīgo sertifikātu, kas tiek izmantots, lai biroja darbstacijā autentificētos uz domēnu un uzņēmuma iekšējiem resursiem.

Saskaņā ar statistiku, vairāk nekā 80% informācijas drošības incidentu izmanto vājas vai zagtas paroles. Tāpēc divu faktoru autentifikācijas ieviešana ievērojami paaugstina uzņēmuma un tā resursu kopējo drošības līmeni, ļauj gandrīz līdz nullei samazināt zādzības vai paroles uzminēšanas risku, kā arī nodrošina saziņas norisi ar derīgu lietotāju. Ieviešot PKI infrastruktūru, paroles autentifikāciju var pilnībā atspējot.

No lietotāja interfeisa viedokļa šī shēma ir pat vienkāršāka nekā pieteikšanās un paroles ievadīšana. Iemesls ir tāds, ka sarežģīta parole vairs nav jāatceras, nav jāliek zem tastatūras uzlīmes (pārkāpjot visas iespējamās drošības politikas), parole pat nav jāmaina reizi 90 dienās (lai gan tā nav ilgāk uzskatīta par labāko praksi, bet daudzās vietās joprojām tiek praktizēta). Lietotājam vajadzēs tikai izdomāt ne pārāk sarežģītu PIN kodu un nepazaudēt žetonu. Pats žetons var tikt izgatavots viedkartes formā, ko ērti nēsāt līdzi makā. RFID tagus var implantēt tokenā un viedkartē, lai piekļūtu biroja telpām.
PIN kods tiek izmantots autentifikācijai, piekļuves nodrošināšanai atslēgas informācijai un kriptogrāfisku pārveidojumu un pārbaužu veikšanai. Tokena pazaudēšana nav biedējoša, jo PIN kodu nav iespējams uzminēt, pēc dažiem mēģinājumiem tas tiks bloķēts. Tajā pašā laikā viedkartes mikroshēma aizsargā galveno informāciju no ieguves, klonēšanas un citiem uzbrukumiem.

Kas vēl?

Ja Microsoft attālās piekļuves problēmas risinājums kāda iemesla dēļ nav piemērots, varat ieviest PKI infrastruktūru un konfigurēt divu faktoru autentifikāciju, izmantojot mūsu viedkartes dažādās VDI infrastruktūrās (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) un aparatūras drošības sistēmas (PaloAlto, CheckPoint, Cisco) un citus produktus.

Daži no piemēriem tika apspriesti mūsu iepriekšējos rakstos.

Nākamajā rakstā mēs runāsim par OpenVPN iestatīšanu ar autentifikāciju, izmantojot MSCA sertifikātus.

Neviena sertifikāta

Ja PKI infrastruktūras ieviešana un aparatūras ierīču iegāde katram darbiniekam izskatās pārāk sarežģīta vai, piemēram, nav tehniskas iespējas pieslēgt viedkarti, tad ir risinājums ar vienreizējām parolēm uz mūsu JAS autentifikācijas servera bāzes. Kā autentifikatorus varat izmantot programmatūru (Google Authenticator, Yandex Key), aparatūru (jebkuru atbilstošu RFC, piemēram, JaCarta WebPass). Tiek atbalstīti gandrīz visi tie paši risinājumi kā viedkartēm/žetoniem. Mēs arī runājām par dažiem konfigurācijas piemēriem mūsu iepriekšējās ziņās.

Autentifikācijas metodes var kombinēt, tas ir, izmantojot OTP – piemēram, var ielaist tikai mobilos lietotājus, un klasiskos klēpjdatorus/galddatorus var autentificēt tikai izmantojot sertifikātu uz marķiera.

Mana darba specifikas dēļ pēdējā laikā daudzi draugi, kas nav tehniski, ir vērsušies pie manis personīgi, lai saņemtu palīdzību attālās piekļuves iestatīšanā. Tāpēc mēs varējām nedaudz ieskatīties, kurš un kā izkļūt no situācijas. Bija patīkami pārsteigumi, kad ne pārāk lielie uzņēmumi izmanto slavenus zīmolus, tostarp ar divu faktoru autentifikācijas risinājumiem. Bija arī gadījumi, pārsteidzoši pretējā virzienā, kad tiešām ļoti lielas un pazīstamas kompānijas (ne IT) ieteica vienkārši instalēt TeamViewer savos biroja datoros.

Esošajā situācijā speciālisti no uzņēmuma "Aladdin R.D." Iesakām atbildīgi risināt problēmas saistībā ar attālo piekļuvi jūsu uzņēmuma infrastruktūrai. Šajā gadījumā, pašā vispārējā pašizolācijas režīma sākumā, mēs sākām kampaņa “Droša darbinieku attālinātā darba organizēšana”.

Avots: www.habr.com