I vårt företag, som i många andra IT- och inte så IT-företag, har möjligheten till fjärråtkomst funnits länge, och många anställda använde den av nödvändighet. Med spridningen av covid-19 i världen började vår IT-avdelning, efter beslut av företagets ledning, att överföra anställda som återvänder från utlandsresor till distansarbete. Ja, vi började träna hem självisolering redan från början av mars, till och med innan det blev mainstream. I mitten av mars hade lösningen redan skalats till hela företaget, och i slutet av mars gick vi alla nästan sömlöst över till ett nytt sätt för massdistansarbete för alla.
Tekniskt sett använder vi Microsoft VPN (RRAS) för att implementera fjärråtkomst till nätverket - som en av Windows Server-rollerna. När du ansluter till nätverket blir olika interna resurser tillgängliga, från sharepoints, fildelningstjänster, buggspårare till ett CRM-system; för många är detta allt de behöver för sitt arbete. För de som fortfarande har arbetsstationer på kontoret konfigureras RDP-åtkomst via RDG-gatewayen.
Varför valde du detta beslut eller varför är det värt att välja? För om du redan har en domän och annan infrastruktur från Microsoft så är svaret självklart, det kommer med största sannolikhet att bli enklare, snabbare och billigare för din IT-avdelning att implementera det. Du behöver bara lägga till några funktioner. Och det blir lättare för anställda att konfigurera Windows-komponenter än att ladda ner och konfigurera ytterligare åtkomstklienter.
Vid åtkomst till själva VPN-gatewayen och efteråt, vid anslutning till arbetsstationer och viktiga webbresurser använder vi tvåfaktorsautentisering. Det vore faktiskt konstigt om vi, som tillverkare av tvåfaktorsautentiseringslösningar, inte använde våra produkter själva. Detta är vår företagsstandard; varje anställd har en token med ett personligt certifikat, som används för att autentisera på kontorets arbetsstation till domänen och till företagets interna resurser.
Enligt statistik använder mer än 80 % av informationssäkerhetsincidenterna svaga eller stulna lösenord. Därför ökar införandet av tvåfaktorsautentisering avsevärt den övergripande säkerhetsnivån för företaget och dess resurser, gör att du kan minska risken för stöld eller lösenordsgissning till nästan noll, och även säkerställa att kommunikation sker med en giltig användare. När du implementerar en PKI-infrastruktur kan lösenordsautentisering inaktiveras helt.
Ur användargränssnittssynpunkt är detta schema till och med enklare än att ange ett användarnamn och lösenord. Anledningen är att ett komplext lösenord inte längre behöver komma ihåg, det finns ingen anledning att sätta klistermärken under tangentbordet (som bryter mot alla tänkbara säkerhetspolicyer), lösenordet behöver inte ens ändras en gång var 90:e dag (även om det inte är längre anses vara bästa praxis, men fortfarande tillämpas på många ställen). Användaren behöver bara komma med en inte särskilt komplicerad PIN-kod och inte förlora token. Själva poletten kan göras i form av ett smartkort, som bekvämt kan bäras i en plånbok. RFID-taggar kan implanteras i token och smartkort för åtkomst till kontorslokaler.
PIN-koden används för autentisering, för att ge tillgång till nyckelinformation och för att utföra kryptografiska transformationer och kontroller. Att förlora token är inte skrämmande, eftersom det är omöjligt att gissa PIN-koden, efter några försök kommer den att blockeras. Samtidigt skyddar smartkortschippet nyckelinformation från extraktion, kloning och andra attacker.
Vad annars?
Om lösningen på problemet med fjärråtkomst från Microsoft inte är lämplig av någon anledning, kan du implementera en PKI-infrastruktur och konfigurera tvåfaktorsautentisering med hjälp av våra smarta kort i olika VDI-infrastrukturer (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) och hårdvarusäkerhetssystem (PaloAlto, CheckPoint, Cisco) och andra produkter.
Några av exemplen diskuterades i våra tidigare artiklar.
I nästa artikel kommer vi att prata om att ställa in OpenVPN med autentisering med certifikat från MSCA.
Inte ett enda intyg
Om det ser för komplicerat ut att implementera en PKI-infrastruktur och köpa hårdvaruenheter för varje anställd eller det till exempel inte finns någon teknisk möjlighet att ansluta ett smartkort, så finns det en lösning med engångslösenord baserad på vår JAS-autentiseringsserver. Som autentiserare kan du använda programvara (Google Authenticator, Yandex Key), hårdvara (valfri motsvarande RFC, till exempel JaCarta WebPass). Nästan alla samma lösningar stöds som för smarta kort/tokens. Vi pratade också om några konfigurationsexempel i våra tidigare inlägg.
Autentiseringsmetoder kan kombineras, det vill säga genom OTP - till exempel kan endast mobilanvändare tillåtas in, och klassiska bärbara/datorer kan autentiseras endast med ett certifikat på en token.
På grund av mitt arbetes specifika karaktär har många icke-tekniska vänner nyligen kontaktat mig personligen för att få hjälp med att konfigurera fjärråtkomst. Så vi kunde ta en liten titt på vem som tog sig ur situationen och hur. Det var trevliga överraskningar när inte särskilt stora företag använder kända varumärken, bland annat med tvåfaktorsautentiseringslösningar. Det fanns också fall, överraskande i motsatt riktning, då riktigt stora och välkända företag (inte IT) rekommenderade att helt enkelt installera TeamViewer på sina kontorsdatorer.
I den nuvarande situationen, specialister från företaget "Aladdin R.D." rekommenderar att du tar ett ansvarsfullt tillvägagångssätt för att lösa problem med fjärråtkomst till din företagsinfrastruktur. Vid detta tillfälle, i början av den allmänna självisoleringsregimen, lanserade vi .
Källa: will.com