ในบริษัทของเรา เช่นเดียวกับบริษัทไอทีอื่นๆ ไม่ใช่บริษัทไอที ความเป็นไปได้ของการเข้าถึงระยะไกลมีมาเป็นเวลานานแล้ว และพนักงานจำนวนมากก็ใช้มันโดยไม่จำเป็น ด้วยการแพร่กระจายของ COVID-19 ทั่วโลก แผนกไอทีของเราเริ่มโอนพนักงานที่กลับจากการเดินทางไปต่างประเทศมาทำงานระยะไกลโดยการตัดสินใจของฝ่ายบริหารของบริษัท ใช่ เราเริ่มฝึกการแยกตัวออกจากบ้านตั้งแต่ต้นเดือนมีนาคม แม้กระทั่งก่อนที่จะกลายเป็นกระแสหลักเสียด้วยซ้ำ ภายในกลางเดือนมีนาคม โซลูชันได้รับการปรับขนาดให้เหมาะกับทั้งบริษัทแล้ว และเมื่อปลายเดือนมีนาคมเราทุกคนก็เปลี่ยนไปใช้โหมดการทำงานระยะไกลจำนวนมากแบบใหม่สำหรับทุกคนได้อย่างราบรื่น
ในทางเทคนิค เพื่อใช้การเข้าถึงเครือข่ายระยะไกล เราใช้ Microsoft VPN (RRAS) - เป็นหนึ่งในบทบาท Windows Server เมื่อคุณเชื่อมต่อกับเครือข่าย ทรัพยากรภายในต่างๆ จะพร้อมใช้งาน ตั้งแต่จุดแชร์ บริการแชร์ไฟล์ เครื่องมือติดตามจุดบกพร่อง ไปจนถึงระบบ CRM สำหรับหลายๆ คน นี่คือทั้งหมดที่พวกเขาต้องการสำหรับงานของพวกเขา สำหรับผู้ที่ยังมีเวิร์คสเตชั่นอยู่ในสำนักงาน การเข้าถึง RDP จะถูกกำหนดค่าผ่านเกตเวย์ RDG
ทำไมคุณถึงเลือกการตัดสินใจครั้งนี้หรือเหตุใดจึงคุ้มค่าที่จะเลือก? เพราะหากคุณมีโดเมนและโครงสร้างพื้นฐานอื่นๆ จาก Microsoft อยู่แล้ว คำตอบก็ชัดเจน แผนกไอทีของคุณจะนำไปใช้ได้ง่ายขึ้น เร็วขึ้น และถูกกว่า คุณเพียงแค่ต้องเพิ่มคุณสมบัติบางอย่าง และพนักงานจะกำหนดค่าส่วนประกอบของ Windows ได้ง่ายกว่าการดาวน์โหลดและกำหนดค่าไคลเอ็นต์การเข้าถึงเพิ่มเติม
เมื่อเข้าถึงเกตเวย์ VPN เองและหลังจากนั้น เมื่อเชื่อมต่อกับเวิร์กสเตชันและทรัพยากรบนเว็บที่สำคัญ เราจะใช้การตรวจสอบสิทธิ์แบบสองปัจจัย อันที่จริง คงจะแปลกถ้าเราในฐานะผู้ผลิตโซลูชันการตรวจสอบสิทธิ์แบบสองปัจจัย ไม่ได้ใช้ผลิตภัณฑ์ของเราเอง นี่คือมาตรฐานองค์กรของเรา พนักงานแต่ละคนมีโทเค็นพร้อมใบรับรองส่วนบุคคล ซึ่งใช้ในการตรวจสอบโดเมนและทรัพยากรภายในของบริษัทที่เวิร์กสเตชันในสำนักงาน
จากสถิติพบว่ากว่า 80% ของเหตุการณ์ด้านความปลอดภัยของข้อมูลใช้รหัสผ่านที่ไม่รัดกุมหรือถูกขโมย ดังนั้น การแนะนำการรับรองความถูกต้องแบบสองปัจจัยจึงช่วยเพิ่มระดับความปลอดภัยโดยรวมของบริษัทและทรัพยากรของบริษัทได้อย่างมาก ช่วยให้คุณลดความเสี่ยงของการโจรกรรมหรือการเดารหัสผ่านจนเกือบเป็นศูนย์ และยังรับประกันว่าการสื่อสารเกิดขึ้นกับผู้ใช้ที่ถูกต้อง เมื่อใช้โครงสร้างพื้นฐาน PKI การรับรองความถูกต้องด้วยรหัสผ่านสามารถปิดใช้งานได้อย่างสมบูรณ์
จากมุมมองของ UI สำหรับผู้ใช้ รูปแบบนี้ทำได้ง่ายกว่าการเข้าสู่ระบบและรหัสผ่าน เหตุผลก็คือไม่จำเป็นต้องจำรหัสผ่านที่ซับซ้อนอีกต่อไป ไม่จำเป็นต้องติดสติกเกอร์ไว้ใต้แป้นพิมพ์ (ซึ่งถือเป็นการละเมิดนโยบายความปลอดภัยที่เป็นไปได้ทั้งหมด) ไม่จำเป็นต้องเปลี่ยนรหัสผ่านทุกๆ 90 วันด้วยซ้ำ (แม้ว่าจะไม่ใช่ก็ตาม) ถือเป็นแนวทางปฏิบัติที่ดีที่สุดอีกต่อไป แต่ในหลายสถานที่ยังคงปฏิบัติอยู่) ผู้ใช้จะต้องสร้างรหัส PIN ที่ไม่ซับซ้อนมากและไม่ทำให้โทเค็นสูญหาย โทเค็นนั้นสามารถสร้างได้ในรูปแบบของสมาร์ทการ์ดซึ่งสามารถพกพาใส่กระเป๋าเงินได้อย่างสะดวก สามารถฝังแท็ก RFID ลงในโทเค็นและสมาร์ทการ์ดเพื่อเข้าถึงพื้นที่สำนักงานได้
รหัส PIN ใช้สำหรับการรับรองความถูกต้องเพื่อให้สามารถเข้าถึงข้อมูลสำคัญและดำเนินการแปลงและตรวจสอบการเข้ารหัส การสูญเสียโทเค็นไม่ใช่เรื่องน่ากลัวเนื่องจากเป็นไปไม่ได้ที่จะเดารหัส PIN หลังจากพยายามสองสามครั้งโทเค็นจะถูกบล็อก ในขณะเดียวกัน ชิปสมาร์ทการ์ดจะปกป้องข้อมูลสำคัญจากการสกัด การโคลนนิ่ง และการโจมตีอื่นๆ
อะไรอีก?
หากการแก้ปัญหาการเข้าถึงระยะไกลจาก Microsoft ไม่เหมาะสมด้วยเหตุผลบางประการ คุณสามารถใช้โครงสร้างพื้นฐาน PKI และกำหนดค่าการตรวจสอบสิทธิ์แบบสองปัจจัยโดยใช้สมาร์ทการ์ดของเราในโครงสร้างพื้นฐาน VDI ต่างๆ (Citrix Virtual Apps และเดสก์ท็อป, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) และระบบรักษาความปลอดภัยด้วยฮาร์ดแวร์ (PaloAlto, CheckPoint, Cisco) และผลิตภัณฑ์อื่นๆ
ตัวอย่างบางส่วนถูกกล่าวถึงในบทความก่อนหน้านี้ของเรา
ในบทความถัดไปเราจะพูดถึงการตั้งค่า OpenVPN ด้วยการตรวจสอบสิทธิ์โดยใช้ใบรับรองจาก MSCA
ไม่ใช่ใบรับรองเดียว
หากการใช้โครงสร้างพื้นฐาน PKI และการซื้ออุปกรณ์ฮาร์ดแวร์สำหรับพนักงานแต่ละคนดูซับซ้อนเกินไป หรือ ตัวอย่างเช่น ไม่มีความเป็นไปได้ทางเทคนิคในการเชื่อมต่อสมาร์ทการ์ด ก็มีวิธีแก้ไขปัญหาด้วยรหัสผ่านแบบใช้ครั้งเดียวตามเซิร์ฟเวอร์การตรวจสอบความถูกต้อง JAS ของเรา ในฐานะผู้ตรวจสอบสิทธิ์ คุณสามารถใช้ซอฟต์แวร์ (Google Authenticator, Yandex Key), ฮาร์ดแวร์ (RFC ที่เกี่ยวข้องใดๆ เช่น JaCarta WebPass) โซลูชันเดียวกันเกือบทั้งหมดได้รับการสนับสนุนเช่นเดียวกับสมาร์ทการ์ด/โทเค็น เรายังพูดถึงตัวอย่างการกำหนดค่าบางอย่างในโพสต์ก่อนหน้าของเราด้วย
วิธีการตรวจสอบความถูกต้องสามารถรวมกันได้ กล่าวคือ โดย OTP - ตัวอย่างเช่น เฉพาะผู้ใช้มือถือเท่านั้นที่สามารถเข้าไปได้ และแล็ปท็อป/เดสก์ท็อปแบบคลาสสิกสามารถตรวจสอบได้โดยใช้ใบรับรองบนโทเค็นเท่านั้น
เนื่องจากลักษณะงานของฉันโดยเฉพาะ เพื่อนที่ไม่เชี่ยวชาญด้านเทคนิคจำนวนมากจึงติดต่อฉันเป็นการส่วนตัวเพื่อขอความช่วยเหลือในการตั้งค่าการเข้าถึงระยะไกล ดังนั้นเราจึงสามารถมองดูได้ว่าใครเป็นผู้ออกจากสถานการณ์และทำอย่างไร มีเรื่องน่าประหลาดใจเมื่อบริษัทไม่ใหญ่มากนักใช้แบรนด์ที่มีชื่อเสียง รวมถึงโซลูชันการตรวจสอบสิทธิ์แบบสองปัจจัยด้วย นอกจากนี้ยังมีกรณีที่น่าแปลกใจในทิศทางตรงกันข้าม เมื่อบริษัทขนาดใหญ่มากและมีชื่อเสียง (ไม่ใช่ไอที) แนะนำให้ติดตั้ง TeamViewer บนคอมพิวเตอร์ในสำนักงานของตน
ในสถานการณ์ปัจจุบัน ผู้เชี่ยวชาญจากบริษัท "Aladdin R.D." แนะนำให้ใช้แนวทางที่รับผิดชอบในการแก้ปัญหาการเข้าถึงโครงสร้างพื้นฐานขององค์กรของคุณจากระยะไกล ในโอกาสนี้ เราได้เริ่มต้นระบบการแยกตนเองโดยทั่วไปในช่วงเริ่มต้น .
ที่มา: will.com