Бизнес многих компаний, даже небольших, уже давно не сосредоточен в одном офисе. Для эффективной работы региональные филиалы и удаленные сотрудники требуют постоянной координации действий с другими подразделениями компании. В таком случае чаще всего организуется единое корпоративное пространство для работы компании, в которое включаются центральные и региональные офисы, удаленные сотрудники и даже иногда клиенты компании. Поскольку такое единое пространство строится на базе технологии интернет, компании сталкиваются с вопросами безопасности передаваемой и обрабатываемой информации.
Решением, призванным защитить передаваемые данные, является VPN. Эта технология как раз и реализует защищенное корпоративное пространство для работы филиалов, подразделений и удаленных сотрудников.
Но к сожалению, увеличивая меры безопасности ИТ-инфраструктуры, мы зачастую жертвуем удобством работы с последней. Так, в случае с VPN пользователю приходится иметь в наличие дополнительные пароли, отдельные сертификаты для доступа в корпоративную сеть, а потом еще раз использовать пароли или сертификаты для доступа непосредственно к ресурсам, находящимся в корпоративной сети. Все это очень усложняет работу пользователей.
Для решения поставленной выше проблемы, предлагается рассмотреть классическую технологию единой аутентификации см. Схему 1. Суть технологии заключается в том, что пользователю выдается один логин/пароль или сертификат, по которому его удостоверяет как каналообразующее оборудование, так и ресурсы корпоративной сети.
Технология построена на использовании доменной авторизации с привязкой каналообразующего оборудования к доменной структуре.
Используя эту технологию, мы решаем следующие задачи:
- защищенный доступ к корпоративной сети;
- единый пароль, как к подключению к корпоративной сети, таки и к ресурсам корпоративной сети;
- использование доменной структуры повысит безопасность внутренних корпоративных ресурсов в связи возможностью гибкой настройки прав доступа и политик безопасности;
Для увеличения уровня безопасности структуры, когда связка логин/пароль могут быть какими-то способами перехвачены, мы предлагаем использовать электронный ключ E-token, на котором будет храниться в зашифрованном виде сертификат, идентичный связке логин/пароль. Информация на E-token также защищена паролем, поэтому в случае утери ключа, злоумышленник доступ к ресурсам компании не получит, а служба ИТ успеет отозвать сертификат. Кроме того, использование E-token повышает удобство пользования, поскольку, в данном случае, пользователю необходимо запомнить только пароль к E-token.
Описанная выше классическая технология единой аутентификации может усложняться в сторону повышения уровня безопасности.
Так, в мировой практике все чаще стали появляться решения с двухфакторной аутентификацией пользователей. Суть этой технологии заключается в том, что кроме введения связки логин/пароль или авторизации по ключу E-token, пользователю дополнительно необходимо подтвердить, что именно он сделал попытку авторизации в корпоративных ресурсах.
Таким образом, процесс авторизации происходит в два этапа:
Обе эти технологии используют протокол RADIUS для доступа к каталогу Ldap для подтверждения попытки авторизации.
На Схеме 2 изображен, пример такого взаимодействия при использовании токена для генерации ключа, на Схеме 3 взаимодействие при использовании смс-оповещения.
Таким образом, использование двухфакторной аутентификации значительно повысит уровень безопасности корпоративной сети и ресурсов, находящихся в ней. Однако использование такой технологии значительно усложняет ИТ-инфраструктуру компании, тем более беря во внимание, что сервера аутентификации очень критичной ресурс, который в обязательном порядке необходимо резервировать или кластеризовать, что в свою очередь, требует значительных затрат мощностей.
Наша компания предлагает следующие решения по единой аутентификации и удаленного доступа:
| Однофакторная аутентификация | Двухфакторная аутентификация | |
| Возможность использования одной связки логин/пароль или сертификаты | + | + |
| Возможность использования электронных ключей | + | + |
| Дополнительная проверка подлинности | - | + |
| Стоимость внедрения | Невысокая | Высокая |
| Скорость развертывания | 1 – 2 недели | 2 – 4 недели |
| Возможность объединения филиалов и удаленных сотрудников | + | + |
| Оборудование | Маршрутизаторы Cisco (ASA/ISR) | Маршрутизаторы Cisco (ASA/ISR) |
| Программное обеспечение | Типовой функционал Windows Server | Windows Server, RADIUS Server. Специализированное ПО:
|
Мы реализуем классическую схему единой аутентификации и удаленного доступа, которая обеспечит необходимую безопасность корпоративной сети и ресурсов, в ней находящихся, при этом не уменьшая удобства работы пользователей со структурой.
В случае повышенных требований к безопасности периметра корпоративной сети и ресурсов в корпоративной сети, мы предлагаем реализовать систему с двухфакторной авторизацией, которая позволит снизить к минимуму риски несанкционированного доступа к ресурсам компании.