Донецкий техникум промышленной автоматики

Організація віддаленого доступу до корпоративних інформаційних ресурсів

Сьогодні практично будь-який бізнес повинен вирішити задачу організації захищеного віддаленого доступу до ресурсів для своїх співробітників і партнерів. Це може бути захищений доступ до електронної пошти або віддаленого робочого столу, доступ до внутрішньої CRM системі, до опублікованого на термінальному сервері додатком або ж доступ до мережевого диску. Щоб не відставати від конкурентів, співробітникам потрібна максимальна мобільність. Завдання керівників IT та інформаційної безпеки в тому, щоб знайти оптимальне рішення. Це рішення повинно виконувати всі завдання бізнесу і повністю задовольняти політиці безпеки організації.

Таке рішення може бути побудовано на базі сервера Nexus Hybrid Access Gateway (HAG). Доступ до веб-ресурсів забезпечується через шлюз доступу Access Point, який є реверс-проксі, термініруя HTTP і HTTPS з'єднання. Не потрібно виконувати спеціальні заходи щодо захисту веб-інтерфейсу кожної програми окремо. Замість цього всі необхідні параметри (версія протоколу TLS, алгоритми шифрування, таймаут та ін.) Налаштовуються на шлюзі доступу Access Point. Розширений функціонал по фільтрації трафіку дозволяє додатково захистити веб-ресурси.

Якщо потрібно надати співробітникам безпечний доступ до віддаленого робочого столу або будь-якого опублікованого на термінальному сервері додатком, то можна використовувати функціонал RDP в браузері. Для цього працівник досить бути володарем будь-якого пристрою з браузером. RDP в браузері дозволяє запускати віддалений робочий стіл повністю, або окремі додатки в будь-якому сучасному браузері.

RDP в браузері дозволяє запускати віддалений робочий стіл повністю, або окремі додатки в будь-якому сучасному браузері

RDP в браузері

Так само є VPN-тунелювання, яке дозволить, наприклад, підключити мережевий диск, тобто у користувачів з'явиться зручний і захищений віддалений доступ до файлів, або працювати в 1С з програми-клієнта, встановленого на локальному комп'ютері. Іншими словами, це може бути будь-який класичний додаток або сервіс.

Ще однією складовою рішення є Single Sign-on. Це дозволяє не запам'ятовувати облікові дані захищаються ресурсів. Таким чином користувач, пройшовши аутентифікацію раз, уже не вводить паролі своїх облікових записів в усіх доступних додатках. Це не тільки спрощує роботу користувачів, але і дозволяє використовувати більш складні і довгі паролі на цільових системах, що робить спроби підбору практично безглуздими.

будучи промисловим сервером аутентифікації , Nexus HAG володіє широкими можливості по багатофакторної аутентифікації . Підтримуються такі методи перевірки автентичності, як OATH HOTP , TOTP , OCRA , Одноразові коди по SMS або email, сертифікати PKI , Мобільний додаток і багато інших.

Підтримка відкритих стандартів OATH залишає свободу у виборі постачальників генераторів OTP . Допускається використання і програмних генераторів одноразових паролів .

Допускається використання і програмних генераторів одноразових паролів

Аутентифікація за одноразовими паролями OTP

Новітнє мобільний додаток дозволяє здійснювати многофакторную аутентифікацію на базі асиметричної криптографії дуже простим і зручним для користувача способом: звіркою зображення на моніторі і смартфоні і подальшим введенням PIN -коду в додатку. Workflow аутентифікації в такому випадку вкрай простий для користувача. Він вводить тільки ім'я користувача і на екрані відображається картинка. Користувач порівнює цю картинку з тієї, яка у нього відображається в цей момент в мобільному додатку на смартфоні і якщо картинки збігаються, то підтверджує це в мобільному додатку, а так же вводить свій ПІН-код в цьому додатку. Після цього на смартфоні відбувається підпис отриманого від сервера аутентифікації випадкового значення закритим ключем. Сервер перевіряє підписана значення і приймає рішення про аутентифікації користувача.

Це ж мобільний додаток може використовуватися і для електронного підпису.

Рішення на базі сервера neXus HAG так само підтримує такі протоколи і промислові стандарти, як RADIUS, SAML 2.0 і OAuth 2.0.

Рішення відповідає набирає популярність концепції BYOD (Bring Your Own Device) - коли співробітники використовують свої особисті пристрої для роботи. До того ж, Nexus HAG може проводити перевірку типу пристрою, IP адреси і інші параметри, на підставі яких приймати рішення про надання захищеного доступу до того чи іншого ресурсу.
Таким чином, пропоноване рішення дозволяє не тільки надати захищений віддалений доступ до будь-якого додатка, а й підвищити безпеку доступу до наданих ресурсів завдяки багатофакторної аутентифікації , Фільтрації трафіку, що настроюються правил доступу, Single Sign-on.


2FA Office 365 (.PDF)

YES Bank Case Study (.PDF)

Absolut Case Study (.PDF)

сервер аутентифікації

Nexus Hybrid Access Gateway