Page History

Существует два варианта организации удаленной работы – с использованием корпоративных ноутбуков с установленным необходимым программным обеспечением, либо на домашних ПК с использованием удаленного рабочего стола. В первом случае сотрудники будут подключаться к сети предприятия для доступа к необходимым ресурсам – серверам приложений, файловым хранилищам и базам данных. Во втором - будет осуществляться подключение к корпоративному серверу RDP или VDI.

Сотрудники работают из дома. Если они для этого используют рабочие компьютеры, то подключаются к сети компании для доступа к корпоративным ресурсам (серверам приложений, базам данных). Если они используют удаленные рабочие столы, то подключаются к серверам RDP/VDI. В обоих случаях для подключения используются публичные каналы передачи данных сети интернетИнтернет. Это опасно, потому что передаваемые данные могут быть перехвачены , а паролем может воспользоваться злоумышленник, и никто об этом не узнает.

Для защиты данных используем шифрование, а для аутентификации – 2FA. Для аутентификации необходимы токены.

Для защиты доступа к сети предприятия сотрудников, использующих дома рабочие компьютеры, применяем VPN. Она шифрует передаваемые данные и реализует 2FA.  Для этого необходим сервер VPN, поддерживающий работу с токенами.

и изменены. А если пароль будет украден, то злоумышленник сможет бесконтрольно подключаться к серверам предприятия. Это в офисе понятно кто за каким компьютером работает, а при удаленной работе сотрудником считается тот, кто знает пароль.

Поэтому для защиты передаваемых данных используется шифрование канала. А для предотвращения несанкционированного доступа к сети – двухфакторная аутентификация c помощью токенов и смарт-карт Рутокен. Для входа в сеть предприятия сотруднику необходимо подключить к своему ПК токен или смарт-карту и ввести PIN-код устройства. Владение устройством является первым фактором аутентификации, а PIN-код - вторым. Украв только токен или только PIN-код, злоумышленник подключиться не сможет. А когда сотрудник обнаружит пропажу токена, то уведомит системного администратора и доступ будет заблокирован.

С помощью сервера виртуальной частной сети (Virtual Private Network – VPN) можно организовать при работе из дома безопасный шифрованный канал между корпоративной сетью и рабочими компьютерами, а также двухфакторную аутентификацию удаленных пользователей на основе токенов и смарт-карт.

А при подключения к удаленным рабочим столам шифрование канала осуществляется с помощью встроенных средств серверов VDI и RDP, либо с использованием дополнительного сервера VPN. Двухфакторной аутентификацию можно внедрить с помощью встроенных возможностей операционной системы (требуется установка инфраструктуры открытых ключей - PKI, например Microsoft Certification Service), либо использовать сервер VPN/Для защиты подключения к удаленным рабочим столам используем возможности VDI/RDP (шифрование канала и 2FA). Для этого необходимо внедрить PKI в организации.