எங்கள் நிறுவனத்தில், பல ஐடி மற்றும் ஐடி நிறுவனங்களைப் போல, தொலைநிலை அணுகல் சாத்தியம் நீண்ட காலமாக உள்ளது, மேலும் பல ஊழியர்கள் தேவைக்காக அதைப் பயன்படுத்தினர். உலகில் கோவிட்-19 பரவிய நிலையில், எங்கள் தகவல் தொழில்நுட்பத் துறை, நிறுவனத்தின் நிர்வாகத்தின் முடிவால், வெளிநாடுகளுக்குச் சென்று திரும்பும் ஊழியர்களை தொலைதூர வேலைக்கு மாற்றத் தொடங்கியது. ஆம், மார்ச் மாத தொடக்கத்திலிருந்தே, அது முக்கிய நீரோட்டமாக மாறுவதற்கு முன்பே, வீட்டில் சுயமாக தனிமைப்படுத்தப்படுவதைப் பயிற்சி செய்யத் தொடங்கினோம். மார்ச் நடுப்பகுதியில், தீர்வு ஏற்கனவே முழு நிறுவனத்திற்கும் அளவிடப்பட்டது, மார்ச் இறுதியில் நாங்கள் அனைவரும் கிட்டத்தட்ட அனைவருக்கும் வெகுஜன தொலைதூர வேலைக்கான புதிய பயன்முறைக்கு மாறினோம்.
தொழில்நுட்ப ரீதியாக, நெட்வொர்க்கிற்கான தொலைநிலை அணுகலை செயல்படுத்த, நாங்கள் Microsoft VPN (RRAS) ஐப் பயன்படுத்துகிறோம் - விண்டோஸ் சர்வர் பாத்திரங்களில் ஒன்றாக. நீங்கள் நெட்வொர்க்குடன் இணைக்கும்போது, பகிர்வு புள்ளிகள், கோப்பு பகிர்வு சேவைகள், பிழை கண்காணிப்பாளர்கள் முதல் CRM அமைப்பு வரை பல்வேறு உள் வளங்கள் கிடைக்கும்; பலருக்கு, இதுவே அவர்களின் பணிக்குத் தேவை. அலுவலகத்தில் இன்னும் பணிநிலையங்கள் உள்ளவர்களுக்கு, RDP அணுகல் RDG நுழைவாயில் வழியாக கட்டமைக்கப்பட்டுள்ளது.
நீங்கள் ஏன் இந்த முடிவைத் தேர்ந்தெடுத்தீர்கள் அல்லது ஏன் அதைத் தேர்ந்தெடுப்பது மதிப்பு? ஏனெனில் உங்களிடம் ஏற்கனவே மைக்ரோசாஃப்ட் நிறுவனத்திடம் இருந்து டொமைன் மற்றும் பிற உள்கட்டமைப்பு இருந்தால், பதில் வெளிப்படையானது, அதைச் செயல்படுத்த உங்கள் தகவல் தொழில்நுட்பத் துறைக்கு இது எளிதாகவும், வேகமாகவும், மலிவாகவும் இருக்கும். நீங்கள் சில அம்சங்களைச் சேர்க்க வேண்டும். கூடுதல் அணுகல் கிளையன்ட்களைப் பதிவிறக்கி கட்டமைப்பதை விட, பணியாளர்கள் விண்டோஸ் கூறுகளை உள்ளமைப்பது எளிதாக இருக்கும்.
VPN நுழைவாயிலை அணுகும் போது மற்றும் அதன் பிறகு, பணிநிலையங்கள் மற்றும் முக்கியமான இணைய ஆதாரங்களுடன் இணைக்கும் போது, நாங்கள் இரண்டு காரணி அங்கீகாரத்தைப் பயன்படுத்துகிறோம். உண்மையில், இரண்டு காரணி அங்கீகார தீர்வுகளின் உற்பத்தியாளராக, எங்கள் தயாரிப்புகளை நாமே பயன்படுத்தாவிட்டால் அது விசித்திரமாக இருக்கும். இது எங்கள் கார்ப்பரேட் தரநிலை; ஒவ்வொரு பணியாளருக்கும் தனிப்பட்ட சான்றிதழுடன் ஒரு டோக்கன் உள்ளது, இது அலுவலக பணிநிலையத்தில் டொமைனுக்கும் நிறுவனத்தின் உள் வளங்களுக்கும் அங்கீகாரம் அளிக்கப் பயன்படுகிறது.
புள்ளிவிவரங்களின்படி, 80% க்கும் அதிகமான தகவல் பாதுகாப்பு சம்பவங்கள் பலவீனமான அல்லது திருடப்பட்ட கடவுச்சொற்களைப் பயன்படுத்துகின்றன. எனவே, இரண்டு-காரணி அங்கீகாரத்தை அறிமுகப்படுத்துவது நிறுவனம் மற்றும் அதன் வளங்களின் ஒட்டுமொத்த பாதுகாப்பை பெரிதும் அதிகரிக்கிறது, திருட்டு அல்லது கடவுச்சொல் யூகத்தின் அபாயத்தை கிட்டத்தட்ட பூஜ்ஜியமாகக் குறைக்க உங்களை அனுமதிக்கிறது, மேலும் சரியான பயனருடன் தொடர்பு ஏற்படுவதை உறுதி செய்கிறது. PKI உள்கட்டமைப்பை செயல்படுத்தும் போது, கடவுச்சொல் அங்கீகாரத்தை முழுமையாக முடக்கலாம்.
பயனருக்கான UI பார்வையில், இந்தத் திட்டம் உள்நுழைவு மற்றும் கடவுச்சொல்லை உள்ளிடுவதை விட எளிமையானது. காரணம், சிக்கலான கடவுச்சொல்லை இனி நினைவில் வைத்திருக்க வேண்டிய அவசியமில்லை, விசைப்பலகையின் கீழ் ஸ்டிக்கர்களை வைக்க வேண்டிய அவசியமில்லை (அனைத்து கற்பனையான பாதுகாப்புக் கொள்கைகளையும் மீறுகிறது), கடவுச்சொல்லை 90 நாட்களுக்கு ஒரு முறை கூட மாற்ற வேண்டியதில்லை (இது இல்லை என்றாலும் நீண்ட காலமாக சிறந்த நடைமுறையாக கருதப்படுகிறது, ஆனால் பல இடங்களில் இன்னும் நடைமுறையில் உள்ளது). பயனர் மிகவும் சிக்கலான PIN குறியீட்டைக் கொண்டு வர வேண்டும் மற்றும் டோக்கனை இழக்காமல் இருக்க வேண்டும். டோக்கனையே ஸ்மார்ட் கார்டு வடிவில் உருவாக்கலாம், அதை வசதியாக பணப்பையில் எடுத்துச் செல்லலாம். அலுவலக வளாகத்தை அணுகுவதற்காக டோக்கன் மற்றும் ஸ்மார்ட் கார்டில் RFID குறிச்சொற்களை பொருத்தலாம்.
PIN குறியீடு அங்கீகாரம், முக்கிய தகவல்களுக்கான அணுகலை வழங்க மற்றும் கிரிப்டோகிராஃபிக் மாற்றங்கள் மற்றும் சரிபார்ப்புகளை செய்ய பயன்படுத்தப்படுகிறது. டோக்கனை இழப்பது பயமாக இல்லை, ஏனெனில் PIN குறியீட்டை யூகிக்க இயலாது; சில முயற்சிகளுக்குப் பிறகு, அது தடுக்கப்படும். அதே நேரத்தில், ஸ்மார்ட் கார்டு சிப் பிரித்தெடுத்தல், குளோனிங் மற்றும் பிற தாக்குதல்களிலிருந்து முக்கிய தகவல்களைப் பாதுகாக்கிறது.
வேறு என்ன?
மைக்ரோசாப்ட் தொலைநிலை அணுகல் பிரச்சினைக்கான தீர்வு சில காரணங்களால் பொருந்தவில்லை என்றால், நீங்கள் ஒரு PKI உள்கட்டமைப்பைச் செயல்படுத்தலாம் மற்றும் பல்வேறு VDI உள்கட்டமைப்புகளில் (Citrix Virtual Apps and Desktops, Citrix ADC, VMware) எங்கள் ஸ்மார்ட் கார்டுகளைப் பயன்படுத்தி இரண்டு காரணி அங்கீகாரத்தை உள்ளமைக்கலாம். Horizon, VMware Unified Gateway, Huawei Fusion) மற்றும் வன்பொருள் பாதுகாப்பு அமைப்புகள் (PaloAlto, CheckPoint, Cisco) மற்றும் பிற தயாரிப்புகள்.
சில எடுத்துக்காட்டுகள் எங்கள் முந்தைய கட்டுரைகளில் விவாதிக்கப்பட்டன.
அடுத்த கட்டுரையில் MSCA இலிருந்து சான்றிதழ்களைப் பயன்படுத்தி அங்கீகாரத்துடன் OpenVPN ஐ அமைப்பது பற்றி பேசுவோம்.
வெறும் சான்றிதழ் அல்ல
ஒவ்வொரு பணியாளருக்கும் PKI உள்கட்டமைப்பைச் செயல்படுத்துவது மற்றும் வன்பொருள் சாதனங்களை வாங்குவது மிகவும் சிக்கலானதாகத் தோன்றினால் அல்லது ஸ்மார்ட் கார்டை இணைப்பதற்கான தொழில்நுட்ப சாத்தியம் இல்லை என்றால், எங்கள் JAS அங்கீகார சேவையகத்தின் அடிப்படையில் ஒரு முறை கடவுச்சொற்கள் மூலம் தீர்வு உள்ளது. அங்கீகரிப்பாளர்களாக, நீங்கள் மென்பொருள் (Google அங்கீகரிப்பு, யாண்டெக்ஸ் விசை), வன்பொருள் (எந்த தொடர்புடைய RFC, எடுத்துக்காட்டாக, JaCarta WebPass) பயன்படுத்தலாம். ஸ்மார்ட் கார்டுகள்/டோக்கன்களைப் போலவே கிட்டத்தட்ட எல்லா தீர்வுகளும் ஆதரிக்கப்படுகின்றன. எங்கள் முந்தைய இடுகைகளில் சில உள்ளமைவு எடுத்துக்காட்டுகளைப் பற்றியும் பேசினோம்.
அங்கீகார முறைகளை ஒருங்கிணைக்க முடியும், அதாவது OTP மூலம் - எடுத்துக்காட்டாக, மொபைல் பயனர்களை மட்டுமே அனுமதிக்க முடியும், மேலும் கிளாசிக் மடிக்கணினிகள்/டெஸ்க்டாப்களை டோக்கனில் உள்ள சான்றிதழைப் பயன்படுத்தி மட்டுமே அங்கீகரிக்க முடியும்.
எனது பணியின் குறிப்பிட்ட தன்மை காரணமாக, தொழில்நுட்பம் அல்லாத பல நண்பர்கள் தொலைநிலை அணுகலை அமைப்பதற்கான உதவிக்காக சமீபத்தில் என்னை தனிப்பட்ட முறையில் அணுகியுள்ளனர். எனவே, சூழ்நிலையிலிருந்து யார் வெளியேறுகிறார்கள், எப்படி இருக்கிறார்கள் என்பதை எங்களால் கொஞ்சம் பார்க்க முடிந்தது. மிகப் பெரிய நிறுவனங்கள் இரண்டு காரணி அங்கீகார தீர்வுகள் உட்பட பிரபலமான பிராண்டுகளைப் பயன்படுத்தாதபோது மகிழ்ச்சியான ஆச்சரியங்கள் இருந்தன. உண்மையில் மிகப் பெரிய மற்றும் நன்கு அறியப்பட்ட நிறுவனங்கள் (ஐடி அல்ல) தங்கள் அலுவலகக் கணினிகளில் TeamViewer ஐ வெறுமனே நிறுவ பரிந்துரைத்த போது, எதிர் திசையில் ஆச்சரியமான நிகழ்வுகளும் இருந்தன.
தற்போதைய சூழ்நிலையில், "அலாடின் ஆர்.டி" நிறுவனத்தின் நிபுணர்கள். உங்கள் கார்ப்பரேட் உள்கட்டமைப்பிற்கான தொலைநிலை அணுகல் சிக்கல்களைத் தீர்ப்பதற்கு பொறுப்பான அணுகுமுறையைப் பரிந்துரைக்கவும். இந்த சந்தர்ப்பத்தில், பொது சுய-தனிமை ஆட்சியின் ஆரம்பத்தில், நாங்கள் தொடங்கினோம் .
ஆதாரம்: www.habr.com