Sa aming kumpanya, tulad ng sa maraming iba pang mga IT at hindi sa mga kumpanya ng IT, ang posibilidad ng malayuang pag-access ay umiral nang mahabang panahon, at maraming mga empleyado ang gumamit nito dahil sa pangangailangan. Sa pagkalat ng COVID-19 sa mundo, ang aming departamento ng IT, sa pamamagitan ng desisyon ng pamamahala ng kumpanya, ay nagsimulang ilipat ang mga empleyadong bumabalik mula sa mga biyahe sa ibang bansa patungo sa malayong trabaho. Oo, nagsimula kaming magsanay sa pag-iisa sa sarili sa bahay mula pa sa simula ng Marso, bago pa man ito maging mainstream. Noong kalagitnaan ng Marso, ang solusyon ay nai-scale na sa buong kumpanya, at sa katapusan ng Marso halos walang putol kaming lumipat sa isang bagong mode ng mass remote na trabaho para sa lahat.
Sa teknikal, para ipatupad ang malayuang pag-access sa network, ginagamit namin ang Microsoft VPN (RRAS) - bilang isa sa mga tungkulin ng Windows Server. Kapag kumonekta ka sa network, magagamit ang iba't ibang mga panloob na mapagkukunan, mula sa mga sharepoint, mga serbisyo sa pagbabahagi ng file, mga tagasubaybay ng bug hanggang sa isang CRM system; para sa marami, ito lang ang kailangan nila para sa kanilang trabaho. Para sa mga may workstation pa rin sa opisina, ang RDP access ay na-configure sa pamamagitan ng RDG gateway.
Bakit mo pinili ang desisyong ito o bakit ito nagkakahalaga ng pagpili? Dahil kung mayroon ka nang domain at iba pang imprastraktura mula sa Microsoft, kung gayon ang sagot ay malinaw, malamang na mas madali, mas mabilis at mas mura para sa iyong departamento ng IT na ipatupad ito. Kailangan mo lamang magdagdag ng ilang mga tampok. At magiging mas madali para sa mga empleyado na i-configure ang mga bahagi ng Windows kaysa mag-download at mag-configure ng mga karagdagang access client.
Kapag ina-access ang mismong gateway ng VPN at pagkatapos, kapag kumokonekta sa mga workstation at mahalagang mapagkukunan sa web, gumagamit kami ng two-factor na pagpapatotoo. Sa katunayan, magiging kakaiba kung kami, bilang isang tagagawa ng dalawang-factor na solusyon sa pagpapatunay, ay hindi namin ginamit ang aming mga produkto. Ito ang aming corporate standard; ang bawat empleyado ay may token na may personal na certificate, na ginagamit para mag-authenticate sa office workstation sa domain at sa mga panloob na mapagkukunan ng kumpanya.
Ayon sa istatistika, higit sa 80% ng mga insidente sa seguridad ng impormasyon ay gumagamit ng mahina o ninakaw na mga password. Samakatuwid, ang pagpapakilala ng dalawang-factor na pagpapatunay ay lubos na nagdaragdag sa pangkalahatang antas ng seguridad ng kumpanya at mga mapagkukunan nito, nagbibigay-daan sa iyo upang mabawasan ang panganib ng pagnanakaw o paghula ng password sa halos zero, at tiyakin din na ang komunikasyon ay nangyayari sa isang wastong gumagamit. Kapag nagpapatupad ng imprastraktura ng PKI, maaaring ganap na hindi paganahin ang pagpapatunay ng password.
Mula sa UI point of view para sa user, mas simple ang scheme na ito kaysa sa pagpasok ng login at password. Ang dahilan dito ay hindi na kailangang alalahanin ang isang kumplikadong password, hindi na kailangang maglagay ng mga sticker sa ilalim ng keyboard (lumalabag sa lahat ng naiisip na mga patakaran sa seguridad), ang password ay hindi na kailangang palitan nang isang beses bawat 90 araw (bagaman hindi ito na itinuturing na pinakamahusay na kasanayan, ngunit sa maraming lugar ay nagsasanay pa rin). Kakailanganin lamang ng user na makabuo ng isang hindi masyadong kumplikadong PIN code at hindi mawawala ang token. Ang token mismo ay maaaring gawin sa anyo ng isang smart card, na maaaring maginhawang dalhin sa isang wallet. Ang mga RFID tag ay maaaring itanim sa token at smart card para sa access sa mga lugar ng opisina.
Ang PIN code ay ginagamit para sa pagpapatunay, upang magbigay ng access sa pangunahing impormasyon at upang magsagawa ng mga cryptographic na pagbabago at pagsusuri. Ang pagkawala ng token ay hindi nakakatakot, dahil imposibleng hulaan ang PIN code; pagkatapos ng ilang pagtatangka, ito ay mai-block. Kasabay nito, pinoprotektahan ng smart card chip ang pangunahing impormasyon mula sa pagkuha, pag-clone at iba pang mga pag-atake.
Ano pa?
Kung ang solusyon sa isyu ng malayuang pag-access mula sa Microsoft ay hindi angkop sa ilang kadahilanan, maaari mong ipatupad ang isang imprastraktura ng PKI at i-configure ang dalawang-factor na pagpapatotoo gamit ang aming mga smart card sa iba't ibang mga imprastraktura ng VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) at mga sistema ng seguridad ng hardware (PaloAlto, CheckPoint, Cisco) at iba pang mga produkto.
Ang ilan sa mga halimbawa ay tinalakay sa aming mga nakaraang artikulo.
Sa susunod na artikulo ay pag-uusapan natin ang tungkol sa pag-set up ng OpenVPN na may pagpapatunay gamit ang mga sertipiko mula sa MSCA.
Hindi lang basta certificate
Kung ang pagpapatupad ng isang imprastraktura ng PKI at pagbili ng mga hardware device para sa bawat empleyado ay mukhang masyadong kumplikado o, halimbawa, walang teknikal na posibilidad ng pagkonekta ng isang smart card, pagkatapos ay mayroong isang solusyon sa isang beses na mga password batay sa aming JAS authentication server. Bilang mga authenticator, maaari kang gumamit ng software (Google Authenticator, Yandex Key), hardware (anumang kaukulang RFC, halimbawa, JaCarta WebPass). Halos lahat ng parehong solusyon ay sinusuportahan tulad ng para sa mga smart card/token. Napag-usapan din namin ang ilang mga halimbawa ng pagsasaayos sa aming mga nakaraang post.
Maaaring pagsamahin ang mga paraan ng pag-authenticate, iyon ay, sa pamamagitan ng OTP - halimbawa, ang mga mobile na user lang ang maaaring payagan, at ang mga klasikong laptop/desktop ay maa-authenticate lamang gamit ang isang certificate sa isang token.
Dahil sa partikular na katangian ng aking trabaho, maraming hindi teknikal na kaibigan ang personal na lumapit sa akin kamakailan para sa tulong sa pag-set up ng malayuang pag-access. Kaya't nagawa naming silipin kung sino ang umaalis sa sitwasyon at kung paano. Nagkaroon ng mga kaaya-ayang sorpresa kapag hindi masyadong malalaking kumpanya ang gumagamit ng mga sikat na brand, kasama ang mga solusyon sa two-factor authentication. Mayroon ding mga kaso, nakakagulat sa kabaligtaran na direksyon, kapag talagang napakalaki at kilalang mga kumpanya (hindi IT) ay nagrekomenda ng simpleng pag-install ng TeamViewer sa kanilang mga computer sa opisina.
Sa kasalukuyang sitwasyon, ang mga espesyalista mula sa kumpanyang "Aladdin R.D." Inirerekomenda ang pagkuha ng isang responsableng diskarte sa paglutas ng mga problema ng malayuang pag-access sa iyong corporate infrastructure. Sa pagkakataong ito, sa pinakadulo simula ng pangkalahatang rehimeng self-isolation, inilunsad namin .
Pinagmulan: www.habr.com