У нашій компанії, як і в багатьох інших ІТ-і не дуже ІТ-компаніях, можливість віддаленого доступу існувала давно, і за потребою ним користувалися багато співробітників. З поширенням COVID-19 у світі наш IT-відділ за рішенням керівництва компанії почав перекладати на віддалення співробітників, які повернулися із закордонних поїздок. Так, домашню самоізоляцію ми стали практикувати від початку березня, ще до того, як це стало мейнстримом. До середини березня рішення вже було масштабовано на всю компанію, а наприкінці березня ми практично безшовно перейшли на новий для всіх режим масової віддаленої роботи.
Технічно для реалізації віддаленого доступу до мережі у нас використовується Microsoft VPN (RRAS) – як одна з ролей Windows Server. При підключенні до мережі стають доступні різні внутрішні ресурси від шейрпоінтів, файлообмінників, багтрекерів до CRM-системи, багатьом для роботи вистачає лише цього. Для тих, у кого в офісі залишилися робочі станції, налаштований доступ RDP через RDG-шлюз.
Чому вибір ліг на це рішення або чому його варто вибрати? Тому що якщо у вас вже є домен та інша інфраструктура від Microsoft, то відповідь очевидна, вашому ІТ-відділу швидше за все буде простіше, швидше та дешевше його реалізувати. Потрібно просто додати кілька фіч. А співробітникам буде легше налаштувати компоненти Windows, ніж завантажувати та налаштовувати додаткові клієнти доступу.
При доступі на сам VPN-шлюз і після, при підключенні до робочих станцій та важливих веб-ресурсів, ми використовуємо двофакторну автентифікацію. Справді, було б дивно, якби ми як виробник рішень із двофакторної автентифікації не користувалися б своїми продуктами самі. Це наш корпоративний стандарт, у кожного співробітника є токен з особистим сертифікатом, за яким відбувається автентифікація на офісній робочій станції до домену і до внутрішніх ресурсів компанії.
За статистикою, понад 80% інцидентів інформаційної безпеки використовують слабкі чи вкрадені паролі. Тому впровадження двофакторної автентифікації сильно підвищує загальний рівень захищеності компанії та її ресурсів, дозволяє практично до нуля знизити ризик крадіжки чи підбору пароля, а також гарантувати, що спілкування відбувається саме з валідним користувачем. При впровадженні інфраструктури PKI автентифікацію за паролями можна взагалі відключити.
З погляду UI для користувача така схема навіть простіша, ніж введення логіна та пароля. Причина в тому, що складний пароль тепер не потрібно запам'ятовувати, не потрібно клеїти стікери під клавіатуру (порушуючи всі мислимі та немислимі безпекові політики), пароль навіть не потрібно міняти раз на 90 днів (хоча це вже і не вважається кращими практиками, але багато де все одно практикується). Користувачеві потрібно буде просто вигадати не дуже складний PIN-код і не втратити токен. Сам токен може бути виконаний у вигляді смарт-карти, яку можна зручно носити в гаманці. У токен та смарт-карту можуть бути імплантовані RFID-мітки для доступу до офісних приміщень.
PIN-код використовується при аутентифікації, для надання доступу до ключової інформації та виконання криптографічних перетворень та перевірок, втратити токен не страшно, оскільки підібрати PIN-код неможливо, через кілька спроб відбудеться блокування. При цьому смарт-картковий чіп захищає ключову інформацію від вилучення, клонування та інших атак.
Що ще?
Якщо вирішення питання щодо віддаленого доступу від Microsoft з якоїсь причини не підходить, то впровадити інфраструктуру PKI і налаштувати двофакторну автентифікацію за нашими смарт-картами можна в різні VDI-інфраструктури (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) та апаратні комплекси безпеки (PaloAlto, CheckPoint, Cisco) та інші продукти.
Деякі з прикладів розглядалися, зокрема, і в наших попередніх статтях.
У наступній статті розповімо про налаштування OpenVPN з автентифікацією сертифікатів з MSCA.
Чи не сертифікатом єдиним
Якщо впровадження PKI-інфраструктури та закупівля апаратних пристроїв для кожного співробітника виглядає надто складно або, наприклад, немає технічної можливості підключення смарт-картки, тобто рішення з одноразовими паролями на основі нашого сервера автентифікації JAS. Як аутентифікатори можна використовувати програмні (Google Authenticator, Яндекс Ключ), апаратний (будь-який відповідний RFC, наприклад, JaCarta WebPass). Підтримуються практично ті самі рішення, що й для смарт-карт/токенів. Про деякі приклади налаштування ми також розповідали у наших попередніх постах.
Способи аутентифікації можна комбінувати, тобто за OTP - пускати, наприклад, тільки мобільних користувачів, а класичні ноутбуки/десктопи аутентифікувати тільки сертифікат на токені.
Зважаючи на специфіку роботи особисто до мене за останній час зверталося багато нетехнічних друзів за допомогою в налаштуванні віддаленого доступу. Тож вдалося трохи піддивитися, хто і як виходить із становища. Були приємні здивування, коли невеликі компанії використовують імениті бренди, у тому числі і з рішеннями щодо двофакторної автентифікації. Були також і випадки, що дивують у зворотний бік, коли справді дуже великі та широко відомі компанії (не ІТ) рекомендували просто встановити TeamViewer на свої офісні комп'ютери.
У ситуації, що склалася, фахівці компанії «Аладдін Р.Д.» рекомендують відповідально ставитись до вирішення проблем віддаленого доступу до вашої корпоративної інфраструктури. З цієї нагоди на початку режиму загальної самоізоляції ми запустили .
Джерело: habr.com