Манай компанид бусад мэдээллийн технологийн компаниудын нэгэн адил алсын зайнаас нэвтрэх боломж удаан хугацааны туршид байсаар ирсэн бөгөөд олон ажилчид үүнийг зайлшгүй шаардлагатай үед ашигладаг байсан. Дэлхий дахинд COVID-19 тархсантай холбогдуулан манай мэдээллийн технологийн хэлтсээс компанийн удирдлагын шийдвэрээр гадаад томилолтоор буцаж ирсэн ажилчдаа алсын зайн ажилд шилжүүлж эхэлсэн. Тийм ээ, бид XNUMX-р сарын эхэн үеэс, бүр түгээмэл болохоос өмнө гэрээсээ өөрийгөө тусгаарлах дасгал хийж эхэлсэн. Гуравдугаар сарын дундуур энэ шийдэл нь аль хэдийн компанийг бүхэлд нь хамарсан байсан бөгөөд XNUMX-р сарын сүүлээр бид бүгдээрээ хүн бүрт зориулсан зайнаас ажиллах шинэ горимд бараг саадгүй шилжсэн.
Техникийн хувьд сүлжээнд алсаас нэвтрэх боломжийг хэрэгжүүлэхийн тулд бид Microsoft VPN (RRAS) -ийг Windows серверийн үүргүүдийн нэг болгон ашигладаг. Сүлжээнд холбогдох үед хуваалцах цэгүүд, файл хуваалцах үйлчилгээнүүд, алдаа хянагчаас эхлээд CRM систем хүртэл төрөл бүрийн дотоод нөөцүүд боломжтой болно; ихэнх хүмүүсийн хувьд энэ нь тэдний ажилд шаардлагатай бүх зүйл юм. Оффист ажлын станцтай хэвээр байгаа хүмүүсийн хувьд RDP хандалтыг RDG гарцаар тохируулдаг.
Та яагаад энэ шийдвэрийг сонгосон эсвэл яагаад сонгох нь зүйтэй вэ? Учир нь хэрэв та Microsoft-оос домэйн болон бусад дэд бүтэцтэй бол хариулт нь тодорхой бөгөөд үүнийг таны мэдээллийн технологийн хэлтэст хэрэгжүүлэх нь илүү хялбар, хурдан бөгөөд хямд байх болно. Та хэдхэн функцийг нэмэх хэрэгтэй. Ажилчдад нэмэлт хандалтын клиентүүдийг татаж авах, тохируулахаас илүүтэйгээр Windows бүрэлдэхүүн хэсгүүдийг тохируулах нь илүү хялбар байх болно.
VPN гарц руу нэвтрэх үед болон дараа нь ажлын станцууд болон чухал вэб нөөцөд холбогдох үед бид хоёр хүчин зүйлийн баталгаажуулалтыг ашигладаг. Үнэхээр бид хоёр хүчин зүйлийн баталгаажуулалтын шийдлүүдийг үйлдвэрлэгчийн хувьд бүтээгдэхүүнээ өөрсдөө ашиглаагүй бол хачирхалтай байх болно. Энэ бол манай байгууллагын стандарт бөгөөд ажилтан бүр хувийн гэрчилгээ бүхий жетонтой бөгөөд оффисын ажлын байранд домэйн болон компанийн дотоод нөөцийг баталгаажуулахад ашигладаг.
Статистикийн мэдээгээр мэдээллийн аюулгүй байдлын зөрчлийн 80 гаруй хувь нь сул буюу хулгайлагдсан нууц үгийг ашигладаг. Тиймээс хоёр хүчин зүйлийн баталгаажуулалтыг нэвтрүүлэх нь компанийн болон түүний нөөцийн аюулгүй байдлын ерөнхий түвшинг эрс нэмэгдүүлж, хулгай эсвэл нууц үг таах эрсдлийг бараг тэг болгон бууруулж, хүчинтэй хэрэглэгчтэй харилцах боломжийг олгодог. PKI дэд бүтцийг хэрэгжүүлэх үед нууц үгийн баталгаажуулалтыг бүрэн идэвхгүй болгож болно.
Хэрэглэгчийн UI үүднээс авч үзвэл энэ схем нь нэвтрэх болон нууц үг оруулахаас ч хялбар юм. Үүний шалтгаан нь нарийн төвөгтэй нууц үгийг санах шаардлагагүй, гарны доор наалт хийх шаардлагагүй (аюулгүй байдлын бүх бодлогыг зөрчиж байна), нууц үгийг 90 хоногт нэг удаа өөрчлөх шаардлагагүй (хэдийгээр энэ нь тийм биш юм). илүү урт хугацаанд хамгийн сайн туршлага гэж тооцогддог боловч олон газарт хэрэгжүүлсэн хэвээр байна). Хэрэглэгч зүгээр л тийм ч төвөгтэй биш PIN код гаргаж ирээд жетоноо алдахгүй байх хэрэгтэй. Токеныг өөрөө ухаалаг карт хэлбэрээр хийж болох бөгөөд үүнийг түрийвчиндээ авч явахад тохиромжтой. Оффис руу нэвтрэхийн тулд RFID шошгыг токен болон смарт картанд суулгаж болно.
ПИН кодыг баталгаажуулах, түлхүүр мэдээлэлд хандах, криптограф хувиргалт хийх, шалгахад ашигладаг. ПИН кодыг таах боломжгүй тул токеныг алдах нь аймшигтай биш бөгөөд хэд хэдэн оролдлогын дараа үүнийг блоклох болно. Үүний зэрэгцээ ухаалаг картын чип нь гол мэдээллийг олборлох, хувилах болон бусад халдлагаас хамгаалдаг.
Өөр юу гэж?
Хэрэв Майкрософтоос алсаас нэвтрэх асуудлыг шийдэх шийдэл нь ямар нэг шалтгааны улмаас тохиромжгүй бол та янз бүрийн VDI дэд бүтцэд (Citrix Virtual Apps and Desktops, Citrix ADC, VMware) манай ухаалаг картуудыг ашиглан PKI дэд бүтцийг хэрэгжүүлж, хоёр хүчин зүйлийн нэвтрэлт танилтыг тохируулах боломжтой. Horizon, VMware Unified Gateway, Huawei Fusion) болон техник хангамжийн хамгаалалтын систем (PaloAlto, CheckPoint, Cisco) болон бусад бүтээгдэхүүнүүд.
Зарим жишээг бидний өмнөх нийтлэлүүдэд авч үзсэн.
Дараагийн нийтлэлд бид MSCA-ийн гэрчилгээг ашиглан баталгаажуулалт бүхий OpenVPN-ийг тохируулах талаар ярих болно.
Зөвхөн гэрчилгээ биш
Хэрэв PKI дэд бүтцийг хэрэгжүүлэх, ажилтан бүрт техник хангамжийн төхөөрөмж худалдан авах нь хэтэрхий төвөгтэй мэт санагдаж байвал эсвэл жишээлбэл, ухаалаг картыг холбох техникийн боломж байхгүй бол манай JAS баталгаажуулалтын сервер дээр суурилсан нэг удаагийн нууц үгтэй шийдэл байдаг. Баталгаажуулагчийн хувьд та програм хангамж (Google Authenticator, Yandex Key), техник хангамж (харгалзах RFC, жишээлбэл, JaCarta WebPass) ашиглаж болно. Ухаалаг карт/жетонтой адил бараг бүх шийдлүүдийг дэмждэг. Бид өмнөх нийтлэлүүддээ тохиргооны зарим жишээнүүдийн талаар ярилцсан.
Баталгаажуулалтын аргуудыг нэгтгэж болно, өөрөөр хэлбэл OTP - жишээ нь, зөвхөн гар утасны хэрэглэгчид нэвтрэх боломжтой, сонгодог зөөврийн компьютер/ширээний компьютерийг зөвхөн жетон дээрх сертификат ашиглан баталгаажуулах боломжтой.
Миний ажлын онцлогоос шалтгаалж, техникийн бус олон найзууд саяхан над руу алсын зайн хандалтыг тохируулах талаар тусламж хүсч байна. Тиймээс бид нөхцөл байдлаас хэн, хэрхэн гарч байгааг бага зэрэг харж чадсан. Томоохон биш компаниуд алдартай брэндүүдийг, тэр дундаа хоёр хүчин зүйлийн баталгаажуулалтын шийдлийг ашиглахад таатай гэнэтийн бэлэг байсан. Үнэхээр маш том, алдартай компаниуд (IT биш) TeamViewer-ийг оффисын компьютер дээрээ суулгахыг зөвлөсөн тохиолдол ч бас байсан.
Одоогийн нөхцөлд "Аладдин Р.Д." компанийн мэргэжилтнүүд. Байгууллагын дэд бүтцэд алсаас нэвтрэх асуудлыг шийдвэрлэхэд хариуцлагатай хандахыг зөвлөж байна. Энэ өдрийг тохиолдуулан бид өөрийгөө тусгаарлах ерөнхий дэглэмийг эхлүүлсэн .
Эх сурвалж: www.habr.com