Katika kampuni yetu, kama ilivyo katika kampuni zingine nyingi za IT na sio hivyo za IT, uwezekano wa ufikiaji wa mbali umekuwepo kwa muda mrefu, na wafanyikazi wengi waliitumia kwa lazima. Pamoja na kuenea kwa COVID-19 ulimwenguni, idara yetu ya TEHAMA, kwa uamuzi wa usimamizi wa kampuni, ilianza kuhamisha wafanyikazi wanaorejea kutoka safari za nje kwenda kazini za mbali. Ndio, tulianza kufanya mazoezi ya kujitenga nyumbani tangu mwanzoni mwa Machi, hata kabla ya kuwa ya kawaida. Kufikia katikati ya Machi, suluhisho lilikuwa tayari limetolewa kwa kampuni nzima, na mwishoni mwa Machi sote karibu tulibadilisha kwa mshono mfumo mpya wa kazi ya mbali kwa kila mtu.
Kitaalam, ili kutekeleza ufikiaji wa mbali kwa mtandao, tunatumia Microsoft VPN (RRAS) - kama moja ya majukumu ya Windows Server. Unapounganisha kwenye mtandao, rasilimali mbalimbali za ndani zinapatikana, kuanzia sehemu za hisa, huduma za kushiriki faili, vifuatiliaji hitilafu hadi mfumo wa CRM; kwa wengi, hii ndiyo tu wanayohitaji kwa kazi yao. Kwa wale ambao bado wana vituo vya kazi ofisini, ufikiaji wa RDP husanidiwa kupitia lango la RDG.
Kwa nini ulichagua uamuzi huu au kwa nini inafaa kuchagua? Kwa sababu ikiwa tayari una kikoa na miundombinu mingine kutoka kwa Microsoft, basi jibu ni dhahiri, itakuwa rahisi zaidi, haraka na kwa bei nafuu kwa idara yako ya IT kutekeleza. Unahitaji tu kuongeza vipengele vichache. Na itakuwa rahisi kwa wafanyakazi kusanidi vipengele vya Windows kuliko kupakua na kusanidi wateja wa ziada wa kufikia.
Tunapofikia lango la VPN lenyewe na baadaye, tunapounganisha kwenye vituo vya kazi na rasilimali muhimu za wavuti, tunatumia uthibitishaji wa mambo mawili. Hakika, itakuwa ajabu ikiwa sisi, kama mtengenezaji wa ufumbuzi wa uthibitishaji wa vipengele viwili, hatukutumia bidhaa zetu wenyewe. Hiki ndicho kiwango chetu cha ushirika; kila mfanyakazi ana tokeni iliyo na cheti cha kibinafsi, ambacho hutumika kuthibitisha kwenye kituo cha kazi cha ofisi kwa kikoa na kwa rasilimali za ndani za kampuni.
Kulingana na takwimu, zaidi ya 80% ya matukio ya usalama wa habari hutumia nywila dhaifu au kuibiwa. Kwa hiyo, kuanzishwa kwa uthibitishaji wa sababu mbili huongeza sana kiwango cha jumla cha usalama wa kampuni na rasilimali zake, inakuwezesha kupunguza hatari ya wizi au kubahatisha nenosiri hadi karibu sifuri, na pia kuhakikisha kuwa mawasiliano hutokea na mtumiaji halali. Wakati wa kutekeleza miundombinu ya PKI, uthibitishaji wa nenosiri unaweza kuzimwa kabisa.
Kutoka kwa mtazamo wa UI kwa mtumiaji, mpango huu ni rahisi zaidi kuliko kuingia kuingia na nenosiri. Sababu ni kwamba nenosiri tata halihitaji kukumbukwa tena, hakuna haja ya kuweka vibandiko chini ya kibodi (kukiuka sera zote za usalama zinazowezekana), nenosiri halihitaji hata kubadilishwa mara moja kila baada ya siku 90 (ingawa hii sivyo. inachukuliwa kuwa bora zaidi, lakini katika maeneo mengi bado inafanywa). Mtumiaji atahitaji tu kuja na nambari ya PIN isiyo ngumu sana na asipoteze ishara. Ishara yenyewe inaweza kufanywa kwa namna ya kadi ya smart, ambayo inaweza kubeba kwa urahisi katika mkoba. Lebo za RFID zinaweza kupandikizwa kwenye tokeni na kadi mahiri kwa ufikiaji wa majengo ya ofisi.
Msimbo wa PIN hutumika kuthibitisha, kutoa ufikiaji wa taarifa muhimu na kufanya mabadiliko ya kriptografia na ukaguzi.Kupoteza ishara hakuogopi, kwani haiwezekani kukisia msimbo wa PIN; baada ya majaribio machache, itazuiwa. Wakati huo huo, chip ya kadi ya smart inalinda taarifa muhimu kutoka kwa uchimbaji, cloning na mashambulizi mengine.
Nini kingine?
Ikiwa suluhisho la suala la ufikiaji wa mbali kutoka kwa Microsoft halifai kwa sababu fulani, basi unaweza kutekeleza miundombinu ya PKI na kusanidi uthibitishaji wa sababu mbili kwa kutumia kadi zetu smart katika miundombinu mbalimbali ya VDI (Citrix Virtual Apps na Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) na mifumo ya usalama ya maunzi (PaloAlto, CheckPoint, Cisco) na bidhaa zingine.
Baadhi ya mifano hiyo ilizungumziwa katika makala zetu zilizopita.
Katika makala inayofuata tutazungumza juu ya kusanidi OpenVPN na uthibitishaji kwa kutumia cheti kutoka kwa MSCA.
Sio cheti tu
Ikiwa kutekeleza miundombinu ya PKI na ununuzi wa vifaa vya vifaa kwa kila mfanyakazi inaonekana kuwa ngumu sana au, kwa mfano, hakuna uwezekano wa kiufundi wa kuunganisha kadi ya smart, basi kuna suluhisho na nywila za wakati mmoja kulingana na seva yetu ya uthibitishaji wa JAS. Kama vithibitishaji, unaweza kutumia programu (Kithibitishaji cha Google, Yandex Key), maunzi (RFC yoyote inayolingana, kwa mfano, JaCarta WebPass). Takriban masuluhisho yote yale yale yanatumika kama kadi/tokeni mahiri. Pia tulizungumza juu ya mifano kadhaa ya usanidi katika machapisho yetu yaliyopita.
Mbinu za uthibitishaji zinaweza kuunganishwa, yaani, na OTP - kwa mfano, ni watumiaji wa simu pekee wanaoweza kuruhusiwa kuingia, na kompyuta za mkononi/kompyuta za mezani za kawaida zinaweza kuthibitishwa kwa kutumia cheti kwenye tokeni pekee.
Kutokana na hali mahususi ya kazi yangu, marafiki wengi wasio wa kiufundi wamenijia hivi majuzi kwa usaidizi wa kusanidi ufikiaji wa mbali. Kwa hivyo tuliweza kuchungulia kidogo ni nani alikuwa akitoka katika hali hiyo na jinsi gani. Kulikuwa na mshangao mzuri wakati sio makampuni makubwa sana yanatumia bidhaa maarufu, ikiwa ni pamoja na ufumbuzi wa uthibitishaji wa sababu mbili. Kulikuwa na visa pia, vya kushangaza kwa upande mwingine, wakati kampuni kubwa sana na zinazojulikana (sio IT) zilipendekeza tu kusanikisha TeamViewer kwenye kompyuta zao za ofisi.
Katika hali ya sasa, wataalamu kutoka kampuni "Aladdin R.D." kupendekeza kuchukua mbinu kuwajibika kwa kutatua matatizo ya upatikanaji wa kijijini kwa miundombinu ya shirika lako. Katika hafla hii, mwanzoni mwa serikali ya jumla ya kujitenga, tulizindua .
Chanzo: mapenzi.com