MÅ«su uzÅÄmumÄ, tÄpat kÄ daudzos citos IT un ne tik IT uzÅÄmumos, attÄlinÄtÄs piekļuves iespÄja pastÄv jau ilgu laiku, un daudzi darbinieki to izmantoja nepiecieÅ”amÄ«bas pÄc. LÄ«dz ar COVID-19 izplatÄ«bu pasaulÄ, mÅ«su IT nodaļa ar uzÅÄmuma vadÄ«bas lÄmumu sÄka darbiniekus, kas atgriežas no Ärzemju braucieniem, pÄrcelt uz attÄlinÄtu darbu. JÄ, mÄs sÄkÄm praktizÄt mÄjas paÅ”izolÄciju no paÅ”a marta sÄkuma, pat pirms tÄ kļuva par galveno. LÄ«dz marta vidum risinÄjums jau bija mÄrogots visam uzÅÄmumam, un marta beigÄs mÄs visi gandrÄ«z nemanÄmi pÄrgÄjÄm uz jaunu masveida attÄlinÄtÄ darba režīmu ikvienam.
Tehniski, lai ieviestu attÄlo piekļuvi tÄ«klam, mÄs izmantojam Microsoft VPN (RRAS) - kÄ vienu no Windows Server lomÄm. Kad izveidojat savienojumu ar tÄ«klu, kļūst pieejami dažÄdi iekÅ”Äjie resursi, sÄkot no koplietoÅ”anas punktiem, failu koplietoÅ”anas pakalpojumiem, kļūdu izsekotÄjiem un beidzot ar CRM sistÄmu; daudziem tas ir viss, kas nepiecieÅ”ams darbam. Tiem, kuriem birojÄ joprojÄm ir darbstacijas, RDP piekļuve tiek konfigurÄta caur RDG vÄrteju.
KÄpÄc izvÄlÄjÄties Å”o lÄmumu vai kÄpÄc ir vÄrts izvÄlÄties? Jo, ja jums jau ir domÄns un cita infrastruktÅ«ra no Microsoft, tad atbilde ir acÄ«mredzama, visticamÄk, jÅ«su IT nodaļai to bÅ«s vieglÄk, ÄtrÄk un lÄtÄk ieviest. Jums vienkÄrÅ”i jÄpievieno dažas funkcijas. Un darbiniekiem bÅ«s vieglÄk konfigurÄt Windows komponentus, nevis lejupielÄdÄt un konfigurÄt papildu piekļuves klientus.
Piekļūstot paÅ”ai VPN vÄrtejai un pÄc tam, pieslÄdzoties darbstacijÄm un svarÄ«giem tÄ«mekļa resursiem, mÄs izmantojam divu faktoru autentifikÄciju. PatieÅ”Äm, bÅ«tu dÄ«vaini, ja mÄs kÄ divu faktoru autentifikÄcijas risinÄjumu ražotÄjs paÅ”i neizmantotu savus produktus. Å is ir mÅ«su korporatÄ«vais standarts; katram darbiniekam ir marÄ·ieris ar personÄ«go sertifikÄtu, kas tiek izmantots, lai biroja darbstacijÄ autentificÄtos uz domÄnu un uzÅÄmuma iekÅ”Äjiem resursiem.
SaskaÅÄ ar statistiku, vairÄk nekÄ 80% informÄcijas droŔības incidentu izmanto vÄjas vai zagtas paroles. TÄpÄc divu faktoru autentifikÄcijas ievieÅ”ana ievÄrojami paaugstina uzÅÄmuma un tÄ resursu kopÄjo droŔības lÄ«meni, ļauj gandrÄ«z lÄ«dz nullei samazinÄt zÄdzÄ«bas vai paroles uzminÄÅ”anas risku, kÄ arÄ« nodroÅ”ina saziÅas norisi ar derÄ«gu lietotÄju. IevieÅ”ot PKI infrastruktÅ«ru, paroles autentifikÄciju var pilnÄ«bÄ atspÄjot.
No lietotÄja interfeisa viedokļa Ŕī shÄma ir pat vienkÄrÅ”Äka nekÄ pieteikÅ”anÄs un paroles ievadÄ«Å”ana. Iemesls ir tÄds, ka sarežģīta parole vairs nav jÄatceras, nav jÄliek zem tastatÅ«ras uzlÄ«mes (pÄrkÄpjot visas iespÄjamÄs droŔības politikas), parole pat nav jÄmaina reizi 90 dienÄs (lai gan tÄ nav ilgÄk uzskatÄ«ta par labÄko praksi, bet daudzÄs vietÄs joprojÄm tiek praktizÄta). LietotÄjam vajadzÄs tikai izdomÄt ne pÄrÄk sarežģītu PIN kodu un nepazaudÄt žetonu. Pats žetons var tikt izgatavots viedkartes formÄ, ko Ärti nÄsÄt lÄ«dzi makÄ. RFID tagus var implantÄt tokenÄ un viedkartÄ, lai piekļūtu biroja telpÄm.
PIN kods tiek izmantots autentifikÄcijai, piekļuves nodroÅ”inÄÅ”anai atslÄgas informÄcijai un kriptogrÄfisku pÄrveidojumu un pÄrbaužu veikÅ”anai. Tokena pazaudÄÅ”ana nav biedÄjoÅ”a, jo PIN kodu nav iespÄjams uzminÄt, pÄc dažiem mÄÄ£inÄjumiem tas tiks bloÄ·Äts. TajÄ paÅ”Ä laikÄ viedkartes mikroshÄma aizsargÄ galveno informÄciju no ieguves, klonÄÅ”anas un citiem uzbrukumiem.
Kas vÄl?
Ja Microsoft attÄlÄs piekļuves problÄmas risinÄjums kÄda iemesla dÄļ nav piemÄrots, varat ieviest PKI infrastruktÅ«ru un konfigurÄt divu faktoru autentifikÄciju, izmantojot mÅ«su viedkartes dažÄdÄs VDI infrastruktÅ«rÄs (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) un aparatÅ«ras droŔības sistÄmas (PaloAlto, CheckPoint, Cisco) un citus produktus.
Daži no piemÄriem tika apspriesti mÅ«su iepriekÅ”Äjos rakstos.
NÄkamajÄ rakstÄ mÄs runÄsim par OpenVPN iestatÄ«Å”anu ar autentifikÄciju, izmantojot MSCA sertifikÄtus.
Neviena sertifikÄta
Ja PKI infrastruktÅ«ras ievieÅ”ana un aparatÅ«ras ierÄ«Äu iegÄde katram darbiniekam izskatÄs pÄrÄk sarežģīta vai, piemÄram, nav tehniskas iespÄjas pieslÄgt viedkarti, tad ir risinÄjums ar vienreizÄjÄm parolÄm uz mÅ«su JAS autentifikÄcijas servera bÄzes. KÄ autentifikatorus varat izmantot programmatÅ«ru (Google Authenticator, Yandex Key), aparatÅ«ru (jebkuru atbilstoÅ”u RFC, piemÄram, JaCarta WebPass). Tiek atbalstÄ«ti gandrÄ«z visi tie paÅ”i risinÄjumi kÄ viedkartÄm/žetoniem. MÄs arÄ« runÄjÄm par dažiem konfigurÄcijas piemÄriem mÅ«su iepriekÅ”ÄjÄs ziÅÄs.
AutentifikÄcijas metodes var kombinÄt, tas ir, izmantojot OTP ā piemÄram, var ielaist tikai mobilos lietotÄjus, un klasiskos klÄpjdatorus/galddatorus var autentificÄt tikai izmantojot sertifikÄtu uz marÄ·iera.
Mana darba specifikas dÄļ pÄdÄjÄ laikÄ daudzi draugi, kas nav tehniski, ir vÄrsuÅ”ies pie manis personÄ«gi, lai saÅemtu palÄ«dzÄ«bu attÄlÄs piekļuves iestatÄ«Å”anÄ. TÄpÄc mÄs varÄjÄm nedaudz ieskatÄ«ties, kurÅ” un kÄ izkļūt no situÄcijas. Bija patÄ«kami pÄrsteigumi, kad ne pÄrÄk lielie uzÅÄmumi izmanto slavenus zÄ«molus, tostarp ar divu faktoru autentifikÄcijas risinÄjumiem. Bija arÄ« gadÄ«jumi, pÄrsteidzoÅ”i pretÄjÄ virzienÄ, kad tieÅ”Äm ļoti lielas un pazÄ«stamas kompÄnijas (ne IT) ieteica vienkÄrÅ”i instalÄt TeamViewer savos biroja datoros.
EsoÅ”ajÄ situÄcijÄ speciÄlisti no uzÅÄmuma "Aladdin R.D." IesakÄm atbildÄ«gi risinÄt problÄmas saistÄ«bÄ ar attÄlo piekļuvi jÅ«su uzÅÄmuma infrastruktÅ«rai. Å ajÄ gadÄ«jumÄ, paÅ”Ä vispÄrÄjÄ paÅ”izolÄcijas režīma sÄkumÄ, mÄs sÄkÄm
Avots: www.habr.com