在我們公司,就像許多其他IT公司和非IT公司一樣,遠端存取的可能性已經存在很久了,許多員工出於需要而使用它。 隨著COVID-19在全球的傳播,我們的IT部門根據公司管理階層的決定,開始將出國旅行歸來的員工轉移到遠距工作。 是的,我們從三月初就開始練習居家自我隔離,甚至在它成為主流之前。 到 XNUMX 月中旬,解決方案已擴展到整個公司,到 XNUMX 月底,我們幾乎無縫地切換到了適合所有人的大規模遠端工作新模式。
從技術上講,為了實現對網路的遠端訪問,我們使用 Microsoft VPN (RRAS) - 作為 Windows Server 角色之一。 當您連接到網路時,可以使用各種內部資源,從共享點、檔案共享服務、錯誤追蹤器到 CRM 系統;對於許多人來說,這就是他們工作所需的全部資源。 對於那些在辦公室仍然擁有工作站的人,RDP 存取是透過 RDG 網關配置的。
您為什麼選擇這個決定或為什麼值得選擇? 因為如果您已經擁有 Microsoft 的網域和其他基礎設施,那麼答案是顯而易見的,您的 IT 部門很可能會更容易、更快且更便宜地實施它。 您只需要添加一些功能。 員工配置 Windows 元件比下載和設定其他存取用戶端更容易。
當存取 VPN 閘道本身以及之後連接到工作站和重要的 Web 資源時,我們使用雙重認證。 確實,作為雙因素認證解決方案的製造商,如果我們自己不使用我們的產品才奇怪。 這是我們的企業標準;每個員工都有一個帶有個人證書的令牌,用於在辦公室工作站上對網域和公司內部資源進行身份驗證。
根據統計,超過80%的資訊安全事件是由於弱密碼或被盜密碼造成的。 因此,二因素身份驗證的引入極大地提高了公司及其資源的整體安全水平,使您可以將盜竊或密碼猜測的風險降低到幾乎為零,並確保與有效用戶進行通信。 在實施 PKI 基礎架構時,可以完全停用密碼驗證。
從使用者的 UI 角度來看,此方案甚至比輸入登入名稱和密碼更簡單。 原因是不再需要記住複雜的密碼,不需要在鍵盤下貼貼紙(違反了所有可以想像的安全策略),甚至不需要每 90 天更改一次密碼(儘管這不是不再被認為是最佳實踐,但在許多地方仍在實踐)。 使用者只需要提供一個不太複雜的 PIN 碼,就不會遺失令牌。 代幣本身可以製成智慧卡的形式,可以方便地放在錢包中攜帶。 RFID 標籤可以植入令牌和智慧卡中,以便進入辦公室。
PIN 碼用於身份驗證、提供對關鍵資訊的存取以及執行加密轉換和檢查。丟失令牌並不可怕,因為不可能猜出 PIN 碼;經過幾次嘗試後,它就會被阻止。 同時,智慧卡晶片可保護關鍵資訊免遭提取、複製等攻擊。
還有什麼?
如果 Microsoft 遠端存取問題的解決方案由於某種原因不適合,那麼您可以實施 PKI 基礎架構,並使用我們的智慧卡在各種 VDI 基礎架構(Citrix Virtual Apps and Desktops、Citrix ADC、VMware Horizon、 VMware Unified Gateway、Huawei Fusion)及硬體安全系統(PaloAlto、CheckPoint、Cisco)等產品。
我們之前的文章中討論了一些範例。
在下一篇文章中,我們將討論使用 MSCA 憑證設定 OpenVPN 進行身份驗證。
沒有一個證書
如果實施 PKI 基礎設施並為每位員工購買硬體設備看起來太複雜,或者,例如,沒有連接智慧卡的技術可能性,那麼有一種基於我們的 JAS 身份驗證伺服器的一次性密碼解決方案。 作為身份驗證器,您可以使用軟體(Google Authenticator、Yandex Key)、硬體(任何對應的 RFC,例如 JaCarta WebPass)。 幾乎所有與智慧卡/令牌相同的解決方案都受到支援。 我們在之前的文章中也討論了一些設定範例。
身份驗證方法可以組合,即透過 OTP - 例如,僅允許行動用戶進入,而經典筆記型電腦/桌上型電腦只能使用令牌上的證書進行身份驗證。
由於我工作的特殊性,最近有許多非技術朋友親自向我尋求設定遠端存取的幫助。 因此,我們能夠稍微了解一下誰正在擺脫困境以及如何擺脫困境。 當不是很大的公司使用知名品牌(包括雙重認證解決方案)時,會帶來驚喜。 也有一些案例,令人驚訝的是相反的方向,當真正非常大的知名公司(不是 IT)建議在他們的辦公室電腦上簡單地安裝 TeamViewer 時。
在目前的情況下,「Aladdin R.D.」公司的專家。 建議採取負責任的方法來解決遠端存取公司基礎設施的問題。 值此之際,在全面自我隔離制度之初,我們發起了 .
來源: www.habr.com