Në kompaninë tonë, si në shumë kompani të tjera IT dhe jo aq IT, mundësia e aksesit nga distanca ekziston prej kohësh dhe shumë punonjës e përdorën atë nga nevoja. Me përhapjen e COVID-19 në botë, departamenti ynë i IT-së, me vendim të menaxhmentit të kompanisë, filloi transferimin e punonjësve që ktheheshin nga udhëtimet jashtë vendit në punë në distancë. Po, ne filluam të praktikonim izolimin në shtëpi që nga fillimi i marsit, edhe para se të bëhej i zakonshëm. Nga mesi i marsit, zgjidhja tashmë ishte shtrirë për të gjithë kompaninë dhe në fund të marsit ne të gjithë kaluam pothuajse pa probleme në një mënyrë të re të punës masive në distancë për të gjithë.
Teknikisht, për të zbatuar aksesin në distancë në rrjet, ne përdorim Microsoft VPN (RRAS) - si një nga rolet e Windows Server. Kur lidheni me rrjetin, burime të ndryshme të brendshme bëhen të disponueshme, nga pikat e përbashkëta, shërbimet e ndarjes së skedarëve, gjurmuesit e gabimeve te një sistem CRM; për shumë, kjo është gjithçka që u nevojitet për punën e tyre. Për ata që kanë ende stacione pune në zyrë, qasja RDP konfigurohet nëpërmjet portës RDG.
Pse zgjodhët këtë vendim apo pse ia vlen të zgjidhni? Sepse nëse tashmë keni një domen dhe infrastrukturë tjetër nga Microsoft, atëherë përgjigja është e qartë, ka shumë të ngjarë të jetë më e lehtë, më e shpejtë dhe më e lirë për departamentin tuaj të IT-së ta zbatojë atë. Thjesht duhet të shtoni disa veçori. Dhe do të jetë më e lehtë për punonjësit të konfigurojnë komponentët e Windows sesa të shkarkojnë dhe konfigurojnë klientët shtesë të aksesit.
Kur hyjmë në vetë portën VPN dhe më pas, kur lidhemi me stacionet e punës dhe burimet e rëndësishme të uebit, ne përdorim vërtetimin me dy faktorë. Në të vërtetë, do të ishte e çuditshme nëse ne, si prodhues i zgjidhjeve të vërtetimit me dy faktorë, nuk do t'i përdornim vetë produktet tona. Ky është standardi ynë i korporatës; çdo punonjës ka një shenjë me një certifikatë personale, e cila përdoret për të vërtetuar në stacionin e punës së zyrës në domen dhe në burimet e brendshme të kompanisë.
Sipas statistikave, më shumë se 80% e incidenteve të sigurisë së informacionit përdorin fjalëkalime të dobëta ose të vjedhura. Prandaj, futja e vërtetimit me dy faktorë rrit shumë nivelin e përgjithshëm të sigurisë së kompanisë dhe burimeve të saj, ju lejon të zvogëloni rrezikun e vjedhjes ose hamendjes së fjalëkalimit në pothuajse zero, dhe gjithashtu të siguroni që komunikimi të ndodhë me një përdorues të vlefshëm. Kur zbatoni një infrastrukturë PKI, vërtetimi i fjalëkalimit mund të çaktivizohet plotësisht.
Nga pikëpamja e ndërfaqes së përdoruesit për përdoruesin, kjo skemë është edhe më e thjeshtë sesa futja e një hyrjeje dhe fjalëkalimi. Arsyeja është se një fjalëkalim kompleks nuk ka më nevojë të mbahet mend, nuk ka nevojë të vendosni ngjitëse nën tastierë (duke shkelur të gjitha politikat e mundshme të sigurisë), fjalëkalimi nuk ka nevojë as të ndryshohet një herë në 90 ditë (edhe pse kjo nuk është konsiderohet më gjatë praktika më e mirë, por në shumë vende ende praktikohet). Përdoruesi do të duhet vetëm të dalë me një kod PIN jo shumë të komplikuar dhe të mos humbasë shenjën. Vetë token mund të bëhet në formën e një karte inteligjente, e cila mund të mbahet lehtësisht në një portofol. Etiketat RFID mund të vendosen në token dhe kartën inteligjente për të hyrë në ambientet e zyrës.
Kodi PIN përdoret për vërtetim, për të siguruar akses në informacionin kryesor dhe për të kryer transformime dhe kontrolle kriptografike. Humbja e tokenit nuk është e frikshme, pasi është e pamundur të merret me mend kodi PIN; pas disa përpjekjesh, ai do të bllokohet. Në të njëjtën kohë, çipi i kartës inteligjente mbron informacionin kryesor nga nxjerrja, klonimi dhe sulme të tjera.
Çfarë tjetër?
Nëse zgjidhja për çështjen e aksesit në distancë nga Microsoft nuk është e përshtatshme për ndonjë arsye, atëherë mund të zbatoni një infrastrukturë PKI dhe të konfiguroni vërtetimin me dy faktorë duke përdorur kartat tona inteligjente në infrastruktura të ndryshme VDI (Aplikacionet Virtuale dhe Desktopët Citrix, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) dhe sistemet e sigurisë harduerike (PaloAlto, CheckPoint, Cisco) dhe produkte të tjera.
Disa nga shembujt u diskutuan në artikujt tanë të mëparshëm.
Në artikullin tjetër do të flasim për konfigurimin e OpenVPN me vërtetim duke përdorur certifikata nga MSCA.
Asnjë certifikatë e vetme
Nëse zbatimi i një infrastrukture PKI dhe blerja e pajisjeve harduerike për çdo punonjës duket shumë e ndërlikuar ose, për shembull, nuk ka mundësi teknike për të lidhur një kartë inteligjente, atëherë ekziston një zgjidhje me fjalëkalime një herë e bazuar në serverin tonë të vërtetimit JAS. Si vërtetues, mund të përdorni softuer (Google Authenticator, Yandex Key), harduer (çdo RFC përkatëse, për shembull, JaCarta WebPass). Pothuajse të gjitha të njëjtat zgjidhje mbështeten si për kartat/tokenet inteligjente. Ne folëm gjithashtu për disa shembuj të konfigurimit në postimet tona të mëparshme.
Metodat e vërtetimit mund të kombinohen, domethënë me OTP - për shembull, vetëm përdoruesit e celularëve mund të lejohen të hyjnë dhe laptopët/desktopët klasikë mund të vërtetohen vetëm duke përdorur një certifikatë në një shenjë.
Për shkak të natyrës specifike të punës sime, shumë miq jo teknikë më janë afruar së fundmi personalisht për ndihmë në vendosjen e aksesit në distancë. Kështu që ne mundëm të hidhnim një vështrim të vogël se kush po dilte nga situata dhe si. Kishte surpriza të këndshme kur kompanitë jo shumë të mëdha përdorin marka të famshme, duke përfshirë zgjidhjet e vërtetimit me dy faktorë. Kishte edhe raste, befasuese në drejtim të kundërt, kur kompani vërtet shumë të mëdha dhe të njohura (jo IT) rekomanduan thjesht instalimin e TeamViewer në kompjuterët e tyre të zyrës.
Në situatën aktuale, specialistët e kompanisë "Aladdin R.D." rekomandoni marrjen e një qasjeje të përgjegjshme për zgjidhjen e problemeve të aksesit në distancë në infrastrukturën tuaj të korporatës. Me këtë rast, që në fillimet e regjimit të përgjithshëm të vetëizolimit, ne nisëm .
Burimi: www.habr.com