在我们公司,就像许多其他IT公司和非IT公司一样,远程访问的可能性已经存在很长时间了,许多员工出于需要而使用它。 随着COVID-19在全球的传播,我们的IT部门根据公司管理层的决定,开始将出国旅行归来的员工转移到远程工作。 是的,我们从三月初就开始练习居家自我隔离,甚至在它成为主流之前。 到 XNUMX 月中旬,该解决方案已经扩展到整个公司,到 XNUMX 月底,我们几乎无缝地切换到了适合所有人的大规模远程工作新模式。
从技术上讲,为了实现对网络的远程访问,我们使用 Microsoft VPN (RRAS) - 作为 Windows Server 角色之一。 当您连接到网络时,可以使用从共享点、文件共享服务、错误跟踪器到 CRM 系统的各种内部资源;对于许多人来说,这就是他们工作所需的全部资源。 对于那些在办公室仍然拥有工作站的人,RDP 访问是通过 RDG 网关配置的。
您为什么选择这个决定或者为什么值得选择? 因为如果您已经拥有 Microsoft 的域和其他基础设施,那么答案是显而易见的,您的 IT 部门很可能会更容易、更快且更便宜地实施它。 您只需要添加一些功能即可。 员工配置 Windows 组件比下载和配置其他访问客户端更容易。
当访问 VPN 网关本身以及之后连接到工作站和重要的 Web 资源时,我们使用双因素身份验证。 确实,作为双因素认证解决方案的制造商,如果我们自己不使用我们的产品才奇怪。 这是我们的企业标准;每个员工都有一个带有个人证书的令牌,用于在办公室工作站上对域和公司内部资源进行身份验证。
据统计,超过80%的信息安全事件是由于弱密码或被盗密码造成的。 因此,二因素身份验证的引入极大地提高了公司及其资源的整体安全水平,使您可以将盗窃或密码猜测的风险降低到几乎为零,并确保与有效用户进行通信。 在实施 PKI 基础设施时,可以完全禁用密码身份验证。
从用户的 UI 角度来看,此方案甚至比输入登录名和密码更简单。 原因是不再需要记住复杂的密码,不需要在键盘下贴贴纸(违反了所有可以想象的安全策略),甚至不需要每 90 天更改一次密码(尽管这不是不再被认为是最佳实践,但在许多地方仍在实践)。 用户只需要提供一个不太复杂的 PIN 码,就不会丢失令牌。 代币本身可以制成智能卡的形式,可以方便地放在钱包中携带。 RFID 标签可以植入令牌和智能卡中,以便进入办公场所。
PIN 码用于身份验证、提供对关键信息的访问以及执行加密转换和检查。丢失令牌并不可怕,因为不可能猜出 PIN 码;经过几次尝试后,它就会被阻止。 同时,智能卡芯片可保护关键信息免遭提取、克隆等攻击。
还有什么?
如果 Microsoft 远程访问问题的解决方案由于某种原因不适合,那么您可以实施 PKI 基础架构,并使用我们的智能卡在各种 VDI 基础架构(Citrix Virtual Apps and Desktops、Citrix ADC、VMware Horizon、VMware Unified Gateway、Huawei Fusion)和硬件安全系统(PaloAlto、CheckPoint、Cisco)等产品。
我们之前的文章中讨论了一些示例。
在下一篇文章中,我们将讨论使用 MSCA 证书设置 OpenVPN 进行身份验证。
没有一张证书
如果实施 PKI 基础设施并为每个员工购买硬件设备看起来太复杂,或者,例如,没有连接智能卡的技术可能性,那么有一种基于我们的 JAS 身份验证服务器的一次性密码解决方案。 作为身份验证器,您可以使用软件(Google Authenticator、Yandex Key)、硬件(任何相应的 RFC,例如 JaCarta WebPass)。 几乎所有与智能卡/令牌相同的解决方案都受到支持。 我们在之前的文章中也讨论了一些配置示例。
身份验证方法可以组合,即通过 OTP - 例如,仅允许移动用户进入,而经典笔记本电脑/台式机只能使用令牌上的证书进行身份验证。
由于我工作的特殊性,最近有许多非技术朋友亲自向我寻求设置远程访问的帮助。 因此,我们能够稍微了解一下谁正在摆脱困境以及如何摆脱困境。 当不是很大的公司使用知名品牌(包括双因素身份验证解决方案)时,会带来惊喜。 也有一些案例,令人惊讶的是相反的方向,当真正非常大的知名公司(不是 IT)建议在他们的办公室计算机上简单地安装 TeamViewer 时。
在目前的情况下,“Aladdin R.D.”公司的专家。 建议采取负责任的方法来解决远程访问公司基础设施的问题。 值此之际,在全面自我隔离制度之初,我们发起了 .
来源: habr.com