మా కంపెనీలో, అనేక ఇతర IT మరియు చాలా IT కంపెనీలలో వలె, రిమోట్ యాక్సెస్ అవకాశం చాలా కాలంగా ఉంది మరియు చాలా మంది ఉద్యోగులు దీనిని అవసరం లేకుండా ఉపయోగించారు. ప్రపంచంలో COVID-19 వ్యాప్తి చెందడంతో, మా IT విభాగం, కంపెనీ నిర్వహణ నిర్ణయం ద్వారా, విదేశాలకు వెళ్లి తిరిగి వచ్చే ఉద్యోగులను రిమోట్ వర్క్కు బదిలీ చేయడం ప్రారంభించింది. అవును, మేము మార్చి ప్రారంభం నుండి హోమ్ సెల్ఫ్ ఐసోలేషన్ ప్రాక్టీస్ చేయడం ప్రారంభించాము, అది ప్రధాన స్రవంతి కావడానికి ముందే. మార్చి మధ్య నాటికి, పరిష్కారం ఇప్పటికే మొత్తం కంపెనీకి స్కేల్ చేయబడింది మరియు మార్చి చివరిలో మనమందరం దాదాపుగా ప్రతి ఒక్కరికీ మాస్ రిమోట్ వర్క్ యొక్క కొత్త మోడ్కు మారాము.
సాంకేతికంగా, నెట్వర్క్కు రిమోట్ యాక్సెస్ను అమలు చేయడానికి, మేము Microsoft VPN (RRAS)ని ఉపయోగిస్తాము - Windows సర్వర్ పాత్రలలో ఒకటిగా. మీరు నెట్వర్క్కు కనెక్ట్ చేసినప్పుడు, షేర్పాయింట్లు, ఫైల్ షేరింగ్ సేవలు, బగ్ ట్రాకర్ల నుండి CRM సిస్టమ్ వరకు వివిధ అంతర్గత వనరులు అందుబాటులోకి వస్తాయి; చాలా మందికి, వారి పని కోసం ఇది అవసరం. ఇప్పటికీ కార్యాలయంలో వర్క్స్టేషన్లను కలిగి ఉన్న వారికి, RDP యాక్సెస్ RDG గేట్వే ద్వారా కాన్ఫిగర్ చేయబడింది.
మీరు ఈ నిర్ణయాన్ని ఎందుకు ఎంచుకున్నారు లేదా ఎందుకు ఎంచుకోవడం విలువైనది? ఎందుకంటే మీరు ఇప్పటికే మైక్రోసాఫ్ట్ నుండి డొమైన్ మరియు ఇతర మౌలిక సదుపాయాలను కలిగి ఉన్నట్లయితే, సమాధానం స్పష్టంగా ఉంటుంది, మీ IT విభాగానికి దీన్ని అమలు చేయడం చాలా సులభం, వేగంగా మరియు చౌకగా ఉంటుంది. మీరు కేవలం కొన్ని లక్షణాలను జోడించాలి. మరియు ఉద్యోగులు అదనపు యాక్సెస్ క్లయింట్లను డౌన్లోడ్ చేయడం మరియు కాన్ఫిగర్ చేయడం కంటే Windows భాగాలను కాన్ఫిగర్ చేయడం సులభం అవుతుంది.
VPN గేట్వేని యాక్సెస్ చేస్తున్నప్పుడు మరియు తర్వాత, వర్క్స్టేషన్లు మరియు ముఖ్యమైన వెబ్ వనరులకు కనెక్ట్ చేసినప్పుడు, మేము రెండు-కారకాల ప్రమాణీకరణను ఉపయోగిస్తాము. వాస్తవానికి, మేము రెండు-కారకాల ప్రమాణీకరణ పరిష్కారాల తయారీదారుగా, మా ఉత్పత్తులను మనమే ఉపయోగించుకోకపోతే అది వింతగా ఉంటుంది. ఇది మా కార్పొరేట్ ప్రమాణం; ప్రతి ఉద్యోగి వ్యక్తిగత సర్టిఫికేట్తో కూడిన టోకెన్ను కలిగి ఉంటారు, ఇది ఆఫీస్ వర్క్స్టేషన్లో డొమైన్కు మరియు కంపెనీ అంతర్గత వనరులకు ప్రామాణీకరించడానికి ఉపయోగించబడుతుంది.
గణాంకాల ప్రకారం, 80% కంటే ఎక్కువ సమాచార భద్రతా సంఘటనలు బలహీనమైన లేదా దొంగిలించబడిన పాస్వర్డ్లను ఉపయోగిస్తాయి. అందువల్ల, రెండు-కారకాల ప్రామాణీకరణ యొక్క పరిచయం సంస్థ మరియు దాని వనరుల యొక్క మొత్తం భద్రత స్థాయిని బాగా పెంచుతుంది, దొంగతనం లేదా పాస్వర్డ్ ఊహించే ప్రమాదాన్ని దాదాపు సున్నాకి తగ్గించడానికి మిమ్మల్ని అనుమతిస్తుంది మరియు చెల్లుబాటు అయ్యే వినియోగదారుతో కమ్యూనికేషన్ జరిగేలా చూసుకోండి. PKI ఇన్ఫ్రాస్ట్రక్చర్ను అమలు చేస్తున్నప్పుడు, పాస్వర్డ్ ప్రమాణీకరణ పూర్తిగా నిలిపివేయబడుతుంది.
వినియోగదారు కోసం UI దృక్కోణం నుండి, ఈ పథకం లాగిన్ మరియు పాస్వర్డ్ను నమోదు చేయడం కంటే చాలా సులభం. కారణం ఏమిటంటే, సంక్లిష్టమైన పాస్వర్డ్ను ఇకపై గుర్తుంచుకోవాల్సిన అవసరం లేదు, కీబోర్డ్ కింద స్టిక్కర్లను ఉంచాల్సిన అవసరం లేదు (అన్ని ఊహించదగిన భద్రతా విధానాలను ఉల్లంఘించడం), పాస్వర్డ్ను ప్రతి 90 రోజులకు ఒకసారి మార్చాల్సిన అవసరం లేదు (అయితే ఇది కాదు ఎక్కువ కాలం ఉత్తమ అభ్యాసంగా పరిగణించబడుతుంది, కానీ చాలా చోట్ల ఇప్పటికీ ఆచరిస్తున్నారు). వినియోగదారు చాలా క్లిష్టమైన PIN కోడ్తో రావాలి మరియు టోకెన్ను కోల్పోకుండా ఉండాలి. టోకెన్ను స్మార్ట్ కార్డ్ రూపంలో తయారు చేయవచ్చు, దీన్ని వాలెట్లో సౌకర్యవంతంగా తీసుకెళ్లవచ్చు. కార్యాలయ ప్రాంగణానికి యాక్సెస్ కోసం టోకెన్ మరియు స్మార్ట్ కార్డ్లో RFID ట్యాగ్లను అమర్చవచ్చు.
PIN కోడ్ ప్రామాణీకరణ కోసం, కీలక సమాచారానికి ప్రాప్యతను అందించడానికి మరియు క్రిప్టోగ్రాఫిక్ రూపాంతరాలు మరియు తనిఖీలను నిర్వహించడానికి ఉపయోగించబడుతుంది. టోకెన్ను కోల్పోవడం భయానకం కాదు, ఎందుకంటే PIN కోడ్ను ఊహించడం అసాధ్యం; కొన్ని ప్రయత్నాల తర్వాత, అది బ్లాక్ చేయబడుతుంది. అదే సమయంలో, స్మార్ట్ కార్డ్ చిప్ సంగ్రహణ, క్లోనింగ్ మరియు ఇతర దాడుల నుండి కీలక సమాచారాన్ని రక్షిస్తుంది.
ఇంకేం?
మైక్రోసాఫ్ట్ నుండి రిమోట్ యాక్సెస్ సమస్యకు పరిష్కారం కొన్ని కారణాల వల్ల సరిపోకపోతే, మీరు PKI ఇన్ఫ్రాస్ట్రక్చర్ని అమలు చేయవచ్చు మరియు వివిధ VDI ఇన్ఫ్రాస్ట్రక్చర్లలో (Citrix Virtual Apps and Desktops, Citrix ADC, VMware) మా స్మార్ట్ కార్డ్లను ఉపయోగించి రెండు-కారకాల ప్రమాణీకరణను కాన్ఫిగర్ చేయవచ్చు. హారిజన్, VMware యూనిఫైడ్ గేట్వే, Huawei Fusion) మరియు హార్డ్వేర్ సెక్యూరిటీ సిస్టమ్లు (PaloAlto, CheckPoint, Cisco) మరియు ఇతర ఉత్పత్తులు.
కొన్ని ఉదాహరణలు మా మునుపటి కథనాలలో చర్చించబడ్డాయి.
తదుపరి కథనంలో MSCA నుండి సర్టిఫికేట్లను ఉపయోగించి ప్రామాణీకరణతో OpenVPNని సెటప్ చేయడం గురించి మాట్లాడుతాము.
ఒక్క సర్టిఫికెట్ లేదు
ప్రతి ఉద్యోగి కోసం PKI ఇన్ఫ్రాస్ట్రక్చర్ని అమలు చేయడం మరియు హార్డ్వేర్ పరికరాలను కొనుగోలు చేయడం చాలా క్లిష్టంగా కనిపిస్తే లేదా, ఉదాహరణకు, స్మార్ట్ కార్డ్ని కనెక్ట్ చేసే సాంకేతిక అవకాశం లేనట్లయితే, మా JAS ప్రమాణీకరణ సర్వర్ ఆధారంగా వన్-టైమ్ పాస్వర్డ్లతో పరిష్కారం ఉంటుంది. ప్రామాణీకరణదారులుగా, మీరు సాఫ్ట్వేర్ (Google Authenticator, Yandex కీ), హార్డ్వేర్ (ఏదైనా సంబంధిత RFC, ఉదాహరణకు, JaCarta WebPass) ఉపయోగించవచ్చు. దాదాపు అన్ని ఒకే విధమైన పరిష్కారాలు స్మార్ట్ కార్డ్లు/టోకెన్ల కోసం మద్దతునిస్తాయి. మేము మా మునుపటి పోస్ట్లలో కొన్ని కాన్ఫిగరేషన్ ఉదాహరణల గురించి కూడా మాట్లాడాము.
ప్రామాణీకరణ పద్ధతులను కలపవచ్చు, అంటే, OTP ద్వారా - ఉదాహరణకు, మొబైల్ వినియోగదారులు మాత్రమే అనుమతించబడతారు మరియు క్లాసిక్ ల్యాప్టాప్లు/డెస్క్టాప్లు టోకెన్లోని ప్రమాణపత్రాన్ని ఉపయోగించి మాత్రమే ప్రామాణీకరించబడతాయి.
నా పని యొక్క నిర్దిష్ట స్వభావం కారణంగా, రిమోట్ యాక్సెస్ని సెటప్ చేయడంలో సహాయం కోసం చాలా మంది సాంకేతికత లేని స్నేహితులు ఇటీవల నన్ను వ్యక్తిగతంగా సంప్రదించారు. కాబట్టి పరిస్థితి నుండి ఎవరు మరియు ఎలా బయటపడుతున్నారు అనే దానిపై మేము కొంచెం పరిశీలించగలిగాము. చాలా పెద్ద కంపెనీలు రెండు-కారకాల ప్రమాణీకరణ పరిష్కారాలతో సహా ప్రసిద్ధ బ్రాండ్లను ఉపయోగించనప్పుడు ఆనందకరమైన ఆశ్చర్యకరమైనవి ఉన్నాయి. నిజంగా చాలా పెద్ద మరియు ప్రసిద్ధ కంపెనీలు (IT కాదు) తమ కార్యాలయ కంప్యూటర్లలో TeamViewerని ఇన్స్టాల్ చేయమని సిఫార్సు చేసినప్పుడు, వ్యతిరేక దిశలో ఆశ్చర్యకరమైన సందర్భాలు కూడా ఉన్నాయి.
ప్రస్తుత పరిస్థితిలో, "అల్లాదీన్ R.D" సంస్థ నుండి నిపుణులు. మీ కార్పొరేట్ ఇన్ఫ్రాస్ట్రక్చర్కు రిమోట్ యాక్సెస్ సమస్యలను పరిష్కరించడానికి బాధ్యతాయుతమైన విధానాన్ని తీసుకోవాలని సిఫార్సు చేస్తున్నాము. ఈ సందర్భంగా, సాధారణ స్వీయ-ఒంటరి పాలన ప్రారంభంలోనే, మేము ప్రారంభించాము .
మూలం: www.habr.com