زموږ په شرکت کې، لکه څنګه چې د ډیرو نورو IT او نه ورته IT شرکتونو کې، د لرې پرتو لاسرسي امکان د اوږدې مودې لپاره شتون لري، او ډیری کارمندانو دا د اړتیا څخه کار اخیستی. په نړۍ کې د COVID-19 په خپریدو سره، زموږ د معلوماتي ټکنالوجۍ څانګې، د شرکت د مدیریت په پریکړې سره، د هغه کارمندانو لیږدول پیل کړل چې بهر ته له سفرونو څخه لیرې کار ته راستانه شوي. هو ، موږ د مارچ له پیل څخه د کور ځان جلا کولو تمرین پیل کړ ، حتی مخکې لدې چې اصلي جریان شي. د مارچ په نیمایي کې ، حل دمخه ټول شرکت ته اندازه شوی و ، او د مارچ په پای کې موږ ټول نږدې په بې ساري ډول د هرچا لپاره د ډله ایز ریموټ کار نوي حالت ته واړوو.
په تخنیکي توګه، شبکې ته د ریموټ لاسرسي پلي کولو لپاره، موږ د مایکروسافټ VPN (RRAS) کاروو - د وینډوز سرور رولونو څخه یو. کله چې تاسو له شبکې سره وصل شئ، مختلف داخلي سرچینې شتون لري، د ونډې ټکي، د فایل شریکولو خدماتو، بګ ټریکرونو څخه تر CRM سیسټم پورې؛ د ډیری لپاره، دا ټول هغه څه دي چې دوی د دوی کار ته اړتیا لري. د هغو کسانو لپاره چې لاهم په دفتر کې کاري سټیشنونه لري، د RDP لاسرسی د RDG دروازې له لارې تنظیم شوی.
تاسو ولې دا پریکړه غوره کړه یا ولې دا غوره کول ارزښت لري؟ ځکه چې که تاسو دمخه د مایکروسافټ څخه ډومین او نور زیربناوې لرئ ، نو ځواب څرګند دی ، دا به ستاسو د آی ټي ډیپارټمنټ لپاره پلي کول خورا اسانه ، ګړندي او ارزانه وي. تاسو یوازې یو څو ځانګړتیاوې اضافه کولو ته اړتیا لرئ. او دا به د کارمندانو لپاره اسانه وي چې د اضافي لاسرسي پیرودونکو ډاونلوډ او تنظیم کولو په پرتله د وینډوز اجزا تنظیم کړي.
کله چې پخپله د VPN ګیټ وے ته لاسرسی ومومئ او وروسته ، کله چې د کار سټیشنونو او مهمو ویب سرچینو سره وصل شئ ، موږ دوه فاکتور تصدیق کاروو. په حقیقت کې ، دا به عجیب وي که موږ د دوه فاکتور تصدیق کولو حلونو جوړونکي په توګه خپل محصولات پخپله ونه کاروو. دا زموږ د کارپوریټ معیار دی؛ هر کارمند د شخصي سند سره نښه لري، کوم چې د دفتر په کارځای کې د ډومین او د شرکت داخلي سرچینو ته د تصدیق کولو لپاره کارول کیږي.
د احصایو له مخې، له 80٪ څخه ډیر د معلوماتو امنیتي پیښې ضعیف یا غلا شوي پاسورډونه کاروي. له همدې امله ، د دوه فاکتور تصدیق معرفي کول د شرکت او د دې سرچینو امنیت عمومي کچه خورا لوړه کوي ، تاسو ته اجازه درکوي د غلا یا پاسورډ اټکل نږدې صفر ته کم کړئ ، او دا هم ډاډه کړئ چې اړیکه د باوري کارونکي سره پیښیږي. کله چې د PKI زیربنا پلي کول ، د پټنوم تصدیق کول په بشپړ ډول غیر فعال کیدی شي.
د کارونکي لپاره د UI نقطه نظر څخه، دا سکیم د ننوتلو او پټنوم د ننوتلو په پرتله خورا ساده دی. دلیل یې دا دی چې یو پیچلي پاسورډ نور یادولو ته اړتیا نلري، د کیبورډ لاندې سټیکرونو لګولو ته اړتیا نشته (د ټولو تصور وړ امنیتي پالیسیو څخه سرغړونه)، پاسورډ حتی په هرو 90 ورځو کې یو ځل بدلولو ته اړتیا نلري (که څه هم دا نه ده. ډیر وخت غوره عمل ګڼل کیږي، مګر په ډیری ځایونو کې لاهم تمرین کیږي). کارونکي به یوازې اړتیا ولري چې د خورا پیچلي PIN کوډ سره راشي او نښه له لاسه ورنکړي. نښه پخپله د سمارټ کارت په شکل کې کیدی شي، کوم چې په اسانۍ سره په بټوه کې لیږدول کیدی شي. د دفتر احاطې ته د لاسرسي لپاره د RFID ټاګونه په نښه او سمارټ کارت کې ځای په ځای کیدی شي.
د PIN کوډ د تصدیق کولو لپاره کارول کیږي، کلیدي معلوماتو ته د لاسرسي چمتو کولو او د کریپټوګرافیک بدلونونو او چکونو ترسره کولو لپاره. د نښه له لاسه ورکول ویره نلري، ځکه چې د PIN کوډ اټکل کول ناممکن دي؛ د څو هڅو وروسته، دا به بند شي. په ورته وخت کې، د سمارټ کارت چپ کلیدي معلومات د استخراج، کلونینګ او نورو بریدونو څخه ساتي.
نور څه؟
که چیرې د مایکروسافټ څخه د ریموټ لاسرسي مسلې حل د کوم دلیل لپاره مناسب نه وي ، نو تاسو کولی شئ د PKI زیربنا پلي کړئ او په مختلف VDI زیربناونو کې زموږ د سمارټ کارتونو په کارولو سره دوه فاکتور تصدیق تنظیم کړئ (Citrix Virtual Apps and Desktops, Citrix ADC, VMware. Horizon, VMware Uniified Gateway, Huawei Fusion) او د هارډویر امنیت سیسټمونه (PaloAlto، CheckPoint، Cisco) او نور محصولات.
ځینې مثالونه زموږ په تیرو مقالو کې بحث شوي.
په راتلونکې مقاله کې به موږ د MSCA څخه د سندونو په کارولو سره د تصدیق سره د OpenVPN تنظیم کولو په اړه وغږیږو.
یو سند نشته
که چیرې د PKI زیربنا پلي کول او د هر کارمند لپاره د هارډویر وسیلو پیرود خورا پیچلي ښکاري یا د مثال په توګه ، د سمارټ کارت سره وصل کولو تخنیکي امکان شتون نلري ، نو زموږ د JAS تصدیق کولو سرور پراساس د یو وخت پاسورډونو سره حل شتون لري. د تصدیق کونکي په توګه ، تاسو کولی شئ سافټویر وکاروئ (د ګوګل تصدیق کونکی ، یانډیکس کیلي) ، هارډویر (هر ډول اړونده RFC ، د مثال په توګه ، جاکارټا ویب پاس). نږدې ټول ورته حلونه د سمارټ کارتونو/ټوکنونو په څیر ملاتړ کیږي. موږ زموږ په تیرو پوسټونو کې د ځینې ترتیب کولو مثالونو په اړه هم خبرې وکړې.
د تصدیق کولو میتودونه یوځای کیدی شي ، دا د OTP لخوا دی - د مثال په توګه ، یوازې ګرځنده کاروونکو ته اجازه ورکول کیدی شي ، او کلاسیک لیپټاپ / ډیسټاپونه یوازې په نښه شوي سند په کارولو سره تصدیق کیدی شي.
زما د کار د ځانګړي ماهیت له امله، ډیری غیر تخنیکي ملګري پدې وروستیو کې ما سره د ریموټ لاسرسي په ترتیب کې د مرستې لپاره په شخصي توګه اړیکه نیولې ده. نو موږ وکولی شو یو څه وګورو چې څوک له وضعیت څخه بهر کیږي او څنګه. په زړه پوري حیرانتیاوې وې کله چې خورا لوی شرکتونه مشهور برانډونه نه کاروي ، پشمول د دوه فاکتور تصدیق کولو حلونو سره. داسې قضیې هم شتون درلود ، په مخالف لوري کې حیرانتیا ، کله چې واقعیا خورا لوی او مشهور شرکتونه (نه IT) په ساده ډول د دوی د دفتر کمپیوټرونو کې د ټیم ویویر نصبولو وړاندیز وکړ.
په اوسني حالت کې، د شرکت متخصصین "Aladdin R.D." ستاسو د کارپوریټ زیربنا ته د لیرې لاسرسي ستونزې حل کولو لپاره مسؤل چلند غوره کړئ. په دې موقع، د عمومي ځان ګوښه کولو رژیم په پیل کې، موږ پیل کړ .
سرچینه: www.habr.com