Bizning kompaniyamizda, boshqa ko'plab IT-kompaniyalarda bo'lgani kabi, masofadan kirish imkoniyati uzoq vaqtdan beri mavjud bo'lib, ko'plab xodimlar undan zarurat tufayli foydalanganlar. COVID-19 dunyoga tarqalishi munosabati bilan bizning IT boʻlimi kompaniya rahbariyati qarori bilan xorijga safardan qaytgan xodimlarni masofaviy ishlarga oʻtkazishni boshladi. Ha, biz uyda o'z-o'zini izolyatsiya qilishni mart oyining boshidan boshlab, hatto u asosiy oqimga aylanishidan oldin boshladik. Mart oyining o'rtalariga kelib, yechim allaqachon butun kompaniyaga tarqaldi va mart oyining oxirida barchamiz deyarli muammosiz hamma uchun ommaviy masofaviy ishning yangi rejimiga o'tdik.
Texnik jihatdan, tarmoqqa masofaviy kirishni amalga oshirish uchun biz Windows Server rollaridan biri sifatida Microsoft VPN (RRAS) dan foydalanamiz. Tarmoqqa ulanganingizda, almashish nuqtalari, fayl almashish xizmatlari, xato kuzatuvchilardan tortib CRM tizimigacha bo'lgan turli xil ichki resurslar mavjud bo'ladi; ko'pchilik uchun bu ularning ishi uchun kerak bo'lgan narsadir. Ofisda hali ham ish stantsiyalari bo'lganlar uchun RDP kirish RDG shlyuzi orqali sozlangan.
Nima uchun bu qarorni tanladingiz yoki nima uchun uni tanlashga arziydi? Chunki agar sizda allaqachon Microsoft-dan domen va boshqa infratuzilma mavjud bo'lsa, javob aniq, IT bo'limi uchun uni amalga oshirish osonroq, tezroq va arzonroq bo'lishi mumkin. Siz faqat bir nechta xususiyatlarni qo'shishingiz kerak. Va xodimlar uchun qo'shimcha kirish mijozlarini yuklab olish va sozlashdan ko'ra Windows komponentlarini sozlash osonroq bo'ladi.
VPN shlyuzining o'ziga kirishda va undan keyin ish stantsiyalari va muhim veb-resurslarga ulanishda biz ikki faktorli autentifikatsiyadan foydalanamiz. Haqiqatan ham, agar biz ikki faktorli autentifikatsiya yechimlarini ishlab chiqaruvchi sifatida mahsulotlarimizdan o'zimiz foydalanmagan bo'lsak, g'alati bo'lar edi. Bu bizning korporativ standartimiz; har bir xodimda shaxsiy sertifikatga ega bo'lgan token mavjud bo'lib, u ofis ish stantsiyasida domenga va kompaniyaning ichki resurslariga autentifikatsiya qilish uchun ishlatiladi.
Statistik ma'lumotlarga ko'ra, axborot xavfsizligi hodisalarining 80% dan ortig'i zaif yoki o'g'irlangan parollardan foydalanadi. Shu sababli, ikki faktorli autentifikatsiyani joriy etish kompaniya va uning resurslari xavfsizligining umumiy darajasini sezilarli darajada oshiradi, o'g'irlik yoki parolni taxmin qilish xavfini deyarli nolga kamaytirishga imkon beradi, shuningdek, haqiqiy foydalanuvchi bilan aloqa o'rnatilishini ta'minlaydi. PKI infratuzilmasini amalga oshirishda parolni autentifikatsiya qilish butunlay o'chirib qo'yilishi mumkin.
Foydalanuvchi uchun UI nuqtai nazaridan, ushbu sxema login va parolni kiritishdan ham oddiyroq. Buning sababi shundaki, murakkab parolni endi eslab qolishning hojati yo'q, klaviatura ostiga stikerlar qo'yishning hojati yo'q (barcha mumkin bo'lgan xavfsizlik siyosatini buzgan holda), parolni hatto har 90 kunda bir marta o'zgartirish kerak emas (garchi bu hech qanday bo'lmasa ham). uzoq vaqt davomida eng yaxshi amaliyot deb hisoblanadi, lekin ko'p joylarda hali ham qo'llaniladi). Foydalanuvchi juda murakkab bo'lmagan PIN-kodni topishi va tokenni yo'qotmasligi kerak. Tokenning o'zi hamyonda qulay olib yuriladigan smart-karta shaklida tayyorlanishi mumkin. RFID teglari ofis binolariga kirish uchun token va smart-kartaga joylashtirilishi mumkin.
PIN-kod autentifikatsiya qilish, asosiy ma'lumotlarga kirishni ta'minlash, kriptografik o'zgarishlar va tekshirishlarni amalga oshirish uchun ishlatiladi.Tokenni yo'qotish qo'rqinchli emas, chunki PIN kodni taxmin qilishning iloji yo'q, bir necha urinishlardan so'ng u bloklanadi. Shu bilan birga, smart-karta chipi asosiy ma'lumotlarni ekstraktsiya, klonlash va boshqa hujumlardan himoya qiladi.
Nima yana?
Agar biron sababga ko'ra Microsoft-dan masofaviy kirish muammosini hal qilish mos kelmasa, siz PKI infratuzilmasini joriy qilishingiz va turli VDI infratuzilmalarida (Citrix Virtual Apps and Desktops, Citrix ADC, VMware) smart-kartalarimiz yordamida ikki faktorli autentifikatsiyani sozlashingiz mumkin. Horizon, VMware Unified Gateway, Huawei Fusion) va apparat xavfsizlik tizimlari (PaloAlto, CheckPoint, Cisco) va boshqa mahsulotlar.
Ba'zi misollar bizning oldingi maqolalarimizda muhokama qilingan.
Keyingi maqolada biz MSCA sertifikatlaridan foydalangan holda autentifikatsiya bilan OpenVPN-ni sozlash haqida gaplashamiz.
Bitta sertifikat yo'q
Agar PKI infratuzilmasini joriy etish va har bir xodim uchun apparat qurilmalarini sotib olish juda murakkab ko'rinsa yoki, masalan, smart-kartani ulashning texnik imkoniyati bo'lmasa, bizning JAS autentifikatsiya serverimizga asoslangan bir martalik parollar bilan yechim mavjud. Autentifikatsiya qiluvchilar sifatida siz dasturiy ta'minot (Google Authenticator, Yandex Key), apparat (har qanday mos keladigan RFC, masalan, JaCarta WebPass) dan foydalanishingiz mumkin. Deyarli barcha bir xil echimlar smart-kartalar/tokenlar kabi qo'llab-quvvatlanadi. Bundan tashqari, avvalgi postlarimizda ba'zi konfiguratsiya misollari haqida gapirgan edik.
Autentifikatsiya usullari birlashtirilishi mumkin, ya'ni OTP orqali - masalan, faqat mobil foydalanuvchilarga ruxsat berilishi mumkin va klassik noutbuklar/ish stollari faqat tokendagi sertifikat yordamida autentifikatsiya qilinishi mumkin.
Mening ishimning o'ziga xos xususiyati tufayli, yaqinda ko'plab texnik bo'lmagan do'stlar menga masofaviy kirishni sozlashda yordam so'rab murojaat qilishdi. Shunday qilib, biz vaziyatdan kim va qanday chiqib ketayotganiga biroz nazar tashlay oldik. Juda katta bo'lmagan kompaniyalar mashhur brendlardan, shu jumladan ikki faktorli autentifikatsiya echimlaridan foydalanganda yoqimli kutilmagan hodisalar bo'ldi. Qarama-qarshi yo'nalishda hayratlanarli hollar ham bor edi, haqiqatan ham juda katta va taniqli kompaniyalar (IT emas) oddiygina TeamViewer-ni ofis kompyuterlariga o'rnatishni tavsiya qilgan.
Hozirgi vaziyatda “Aladdin R.D.” kompaniyasi mutaxassislari. korporativ infratuzilmangizga masofadan kirish muammolarini hal qilishda mas'uliyat bilan yondashishni tavsiya eting. Shu munosabat bilan, biz umumiy o'zini-o'zi izolyatsiya qilish rejimining boshida ishga tushirdik .
Manba: www.habr.com