අපගේ සමාගම තුළ, වෙනත් බොහෝ තොරතුරු තාක්ෂණ සහ එසේ නොවන තොරතුරු තාක්ෂණ සමාගම්වල මෙන්, දුරස්ථ ප්රවේශ වීමේ හැකියාව දිගු කලක් තිස්සේ පැවති අතර, බොහෝ සේවකයින් එය අවශ්යතාවයෙන් භාවිතා කළහ. ලොව පුරා COVID-19 පැතිරීමත් සමඟ, අපගේ තොරතුරු තාක්ෂණ දෙපාර්තමේන්තුව, සමාගමේ කළමනාකාරිත්වයේ තීරණය අනුව, විදේශ සංචාර වලින් ආපසු පැමිණෙන සේවකයින් දුරස්ථ රැකියාවට මාරු කිරීමට පටන් ගත්තේය. ඔව්, අපි එය ප්රධාන ධාරාව බවට පත්වීමට පෙර සිටම මාර්තු මුල සිටම නිවසේ ස්වයං හුදකලාව පුහුණු වීමට පටන් ගත්තෙමු. මාර්තු මැද වන විට, විසඳුම දැනටමත් මුළු සමාගමටම පරිමාණය කර ඇති අතර, මාර්තු මස අවසානයේදී අපි සියලු දෙනාටම පාහේ නව මාදිලියේ මහා දුරස්ථ වැඩකට මාරු විය.
තාක්ෂණිකව, ජාලයට දුරස්ථ ප්රවේශය ක්රියාත්මක කිරීම සඳහා, අපි Microsoft VPN (RRAS) භාවිතා කරමු - Windows Server භූමිකාවන්ගෙන් එකක් ලෙස. ඔබ ජාලයට සම්බන්ධ වූ විට, විවිධ අභ්යන්තර සම්පත්, කොටස් ස්ථාන, ගොනු බෙදාගැනීමේ සේවා, දෝෂ ට්රැකර් සිට CRM පද්ධතියක් දක්වා ලබා ගත හැකිය; බොහෝ දෙනෙකුට, ඔවුන්ගේ වැඩ සඳහා අවශ්ය වන්නේ මෙයයි. තවමත් කාර්යාලයේ වැඩපොළවල් ඇති අය සඳහා, RDP ප්රවේශය RDG ද්වාරය හරහා වින්යාස කර ඇත.
ඔබ මෙම තීරණය තෝරා ගත්තේ ඇයි හෝ එය තෝරා ගැනීම වටී ඇයි? මන්ද ඔබට දැනටමත් Microsoft වෙතින් වසමක් සහ වෙනත් යටිතල පහසුකම් තිබේ නම්, පිළිතුර පැහැදිලිය, එය ක්රියාත්මක කිරීම ඔබේ තොරතුරු තාක්ෂණ දෙපාර්තමේන්තුවට බොහෝ විට පහසු, වේගවත් සහ ලාභදායී වනු ඇත. ඔබට අවශ්ය වන්නේ විශේෂාංග කිහිපයක් එකතු කිරීම පමණි. අමතර ප්රවේශ සේවාදායකයින් බාගත කර වින්යාස කිරීමට වඩා සේවකයින්ට වින්ඩෝස් සංරචක වින්යාස කිරීම පහසු වනු ඇත.
VPN ද්වාරයටම පිවිසීමේදී සහ ඉන් පසුව, වැඩපොළවල් සහ වැදගත් වෙබ් සම්පත් වෙත සම්බන්ධ වන විට, අපි ද්වි-සාධක සත්යාපනය භාවිතා කරමු. ඇත්ත වශයෙන්ම, අපි ද්වි-සාධක සත්යාපන විසඳුම් නිෂ්පාදකයෙකු ලෙස අපගේ නිෂ්පාදන අප විසින්ම භාවිතා නොකළේ නම් එය අමුතු දෙයක් වනු ඇත. මෙය අපගේ ආයතනික ප්රමිතියයි; සෑම සේවකයෙකුටම පුද්ගලික සහතිකයක් සහිත ටෝකනයක් ඇත, එය කාර්යාල සේවා ස්ථානයේ වසම වෙත සහ සමාගමේ අභ්යන්තර සම්පත් වෙත සත්යාපනය කිරීමට භාවිතා කරයි.
සංඛ්යා ලේඛනවලට අනුව, තොරතුරු ආරක්ෂණ සිදුවීම්වලින් 80% කට වඩා දුර්වල හෝ සොරකම් කරන ලද මුරපද භාවිතා කරයි. එබැවින්, ද්වි-සාධක සත්යාපනය හඳුන්වාදීම සමාගමේ සහ එහි සම්පත්වල සමස්ත ආරක්ෂිත මට්ටම විශාල ලෙස වැඩි කරයි, සොරකම් කිරීමේ අවදානම හෝ මුරපද අනුමාන කිරීමේ අවදානම ශුන්යයට පාහේ අඩු කිරීමට ඔබට ඉඩ සලසයි, එසේම වලංගු පරිශීලකයෙකු සමඟ සන්නිවේදනය සිදුවන බව සහතික කරයි. PKI යටිතල පහසුකම් ක්රියාත්මක කිරීමේදී, මුරපද සත්යාපනය සම්පූර්ණයෙන්ම අක්රිය කළ හැක.
පරිශීලකයා සඳහා UI දෘෂ්ටි කෝණයකින්, මෙම යෝජනා ක්රමය ඇතුල්වීම සහ මුරපදය ඇතුළත් කිරීමට වඩා සරල ය. හේතුව, සංකීර්ණ මුරපදයක් තවදුරටත් මතක තබා ගැනීමට අවශ්ය නොවීම, යතුරුපුවරුව යට ස්ටිකර් දැමීම අවශ්ය නොවේ (සියලු සිතිය හැකි ආරක්ෂක ප්රතිපත්ති උල්ලංඝනය කරමින්), මුරපදය දින 90 කට වරක් වෙනස් කිරීමට පවා අවශ්ය නොවේ (මෙය එසේ නොවේ). දිගු කලක් හොඳම භාවිතය ලෙස සැලකේ, නමුත් බොහෝ ස්ථානවල තවමත් භාවිතා වේ). පරිශීලකයාට ඉතා සංකීර්ණ නොවන PIN කේතයක් ඉදිරිපත් කිරීමට අවශ්ය වන අතර ටෝකනය නැති කර නොගනී. ටෝකනය ස්මාර්ට් කාඩ්පතක් ආකාරයෙන් සාදා ගත හැකි අතර එය මුදල් පසුම්බියක පහසුවෙන් රැගෙන යා හැකිය. කාර්යාල පරිශ්රයට ප්රවේශ වීම සඳහා RFID ටැග් ටෝකනයට සහ ස්මාර්ට් කාඩ්පතට බද්ධ කළ හැක.
PIN කේතය සත්යාපනය සඳහා, ප්රධාන තොරතුරු වෙත ප්රවේශය සැපයීමට සහ ගුප්ත ලේඛන පරිවර්තන සහ චෙක්පත් සිදු කිරීමට භාවිතා කරයි. ටෝකනය නැතිවීම බියජනක නොවේ, මන්ද එය PIN කේතය අනුමාන කිරීමට නොහැකි බැවිනි; උත්සාහ කිහිපයකින් පසුව, එය අවහිර කරනු ලැබේ. ඒ අතරම, ස්මාර්ට් කාඩ් චිපය නිස්සාරණය, ක්ලෝනකරණය සහ අනෙකුත් ප්රහාර වලින් ප්රධාන තොරතුරු ආරක්ෂා කරයි.
වෙන මොනවා ද?
මයික්රොසොෆ්ට් වෙතින් දුරස්ථ ප්රවේශය පිළිබඳ ගැටළුවට විසඳුම කිසියම් හේතුවක් නිසා සුදුසු නොවේ නම්, ඔබට PKI යටිතල ව්යුහයක් ක්රියාත්මක කර විවිධ VDI යටිතල ව්යුහයන් (Citrix Virtual Apps and Desktops, Citrix ADC, VMware) අපගේ ස්මාර්ට් කාඩ්පත් භාවිතයෙන් ද්වි-සාධක සත්යාපනය වින්යාසගත කළ හැකිය. Horizon, VMware Unified Gateway, Huawei Fusion) සහ දෘඩාංග ආරක්ෂණ පද්ධති (PaloAlto, CheckPoint, Cisco) සහ අනෙකුත් නිෂ්පාදන.
සමහර උදාහරණ අපගේ පෙර ලිපිවල සාකච්ඡා කර ඇත.
මීළඟ ලිපියෙන් අපි MSCA වෙතින් සහතික භාවිතා කරමින් සත්යාපනය සමඟ OpenVPN පිහිටුවීම ගැන කතා කරමු.
එක සහතිකයක්වත් නෑ
PKI යටිතල ව්යුහයක් ක්රියාත්මක කිරීම සහ එක් එක් සේවකයා සඳහා දෘඩාංග උපාංග මිලදී ගැනීම ඉතා සංකීර්ණ බවක් පෙනේ නම් හෝ, උදාහරණයක් ලෙස, ස්මාර්ට් කාඩ්පතක් සම්බන්ධ කිරීමේ තාක්ෂණික හැකියාවක් නොමැති නම්, අපගේ JAS සත්යාපන සේවාදායකය මත පදනම්ව එක් වරක් මුරපද සමඟ විසඳුමක් තිබේ. Authenticators ලෙස, ඔබට මෘදුකාංග (Google Authenticator, Yandex Key), දෘඪාංග (ඕනෑම අනුරූප RFC, උදාහරණයක් ලෙස, JaCarta WebPass) භාවිතා කළ හැක. ස්මාර්ට් කාඩ්පත්/ටෝකන සඳහා සමාන විසඳුම් සියල්ලම පාහේ සහාය දක්වයි. අපි අපේ කලින් පෝස්ට් වල වින්යාස උදාහරණ කිහිපයක් ගැනත් කතා කළා.
සත්යාපන ක්රම ඒකාබද්ධ කළ හැකිය, එනම් OTP මගින් - උදාහරණයක් ලෙස, ජංගම පරිශීලකයින්ට පමණක් ඇතුළු වීමට අවසර දිය හැකි අතර සම්භාව්ය ලැප්ටොප්/ඩෙස්ක්ටොප් සත්යාපනය කළ හැක්කේ ටෝකනයක සහතිකයක් භාවිතයෙන් පමණි.
මගේ කාර්යයේ විශේෂිත ස්වභාවය නිසා, බොහෝ තාක්ෂණික නොවන මිතුරන් දුරස්ථ ප්රවේශය සැකසීමට උදව් ඉල්ලා මෑතකදී මා වෙත පෞද්ගලිකව සම්බන්ධ වී ඇත. ඉතින් මේ තත්ත්වයෙන් මිදෙන්නේ කවුද සහ කෙසේද යන්න ගැන මදක් විමසා බැලීමට අපට හැකි විය. ඉතා විශාල සමාගම් ද්වි-සාධක සත්යාපන විසඳුම් ඇතුළුව ප්රසිද්ධ වෙළඳ නාම භාවිතා නොකරන විට ප්රසන්න විස්මයන් ඇති විය. ඇත්ත වශයෙන්ම ඉතා විශාල සහ ප්රසිද්ධ සමාගම් (තොරතුරු තාක්ෂණ නොවේ) ඔවුන්ගේ කාර්යාල පරිගණකවල TeamViewer ස්ථාපනය කිරීම නිර්දේශ කරන විට ප්රතිවිරුද්ධ දිශාවට පුදුමයට පත්වන අවස්ථා ද තිබේ.
වත්මන් තත්ත්වය තුළ, "Aladdin R.D" සමාගමේ විශේෂඥයින්. ඔබේ ආයතනික යටිතල පහසුකම් සඳහා දුරස්ථ ප්රවේශයේ ගැටළු විසඳීම සඳහා වගකිවයුතු ප්රවේශයක් ගැනීම නිර්දේශ කරන්න. මෙම අවස්ථාවේදී, සාමාන්ය ස්වයං හුදකලා පාලන තන්ත්රයේ ආරම්භයේදීම අපි දියත් කළෙමු .
මූලාශ්රය: www.habr.com