24.07.2020
08.04.2020
Варианты организации удаленного доступа сотрудников: плюсы и минусы
Сейчас многие организации вынуждены переводить своих сотрудников на удаленный формат работы. Давайте рассмотрим 3 основных способа, как организовать удаленный доступ к ИТ-ресурсам компании, и оценим преимущества и недостатки каждого из них.
1. Через VPN клиент
Это самый быстрый и простой способ. Подходит для тех организаций, у которых уже есть межсетевой экран или маршрутизатор с возможностью организации VPN подключения клиентов. Сотрудники могут работать удаленно с корпоративных ноутбуков с установленным на них VPN клиентом либо же подключаться к своим рабочим станциям с персональных ПК/ноутбуков, на который нужно установить VPN клиент.Плюсы:
- Возможность быстро организовать доступ сотрудников
- Минимальные вложения, достаточно расширить лицензию на большее количество пользователей
- Риск перехвата учетных данных пользователей (логины и пароли). Фишинговые атаки никто не отменял, поэтому удаленный доступ требует дополнительной защиты с помощью многофакторной аутентификации.
- Если пользователи используют персональные ноутбуки или ПК, важно убедиться, что у них установлен антивирус, и он регулярно обновляется. Аналогично нужно проверить антивирусную защиту на всех серверах компании и установленные обновления. Лучше всего, чтобы была подключена подписка на угрозы 0 дня.
- Есть опасность утечки конфиденциальных данных с помощью копирования изображения с экрана монитора.
2. Через RDP
Еще один способ удаленного подключения - организация работы через терминальный сервер (служба Microsoft Remote Desktop Services). В этом случае сотрудники со своих персональных ПК/ноутбуков подключаются через интернет к серверу компании, на котором установлены корпоративные приложения.Плюсы:
- Оперативный доступ к корпоративным ресурсам при наличии свободного, но достаточно мощного сервера или виртуальной машины
- Возможность получить бесплатную лицензию для установки сервера на срок до 180 дней (на сайте Microsoft)
- Простые меры по обеспечению безопасности – установка антивируса, DLP агента на сервер
- Ограниченный перечень установленного ПО на терминальном сервере. В основном, это только типовые приложения, специальные программы для отдельных групп пользователей будет сложно установить.
- Необходимо организовать многофакторную аутентификацию для подключения в терминальную сессию.
- Как и при подключении через VPN клиент, существует риск утечки конфиденциальных данных путем снимков с экрана.
3. Виртуальные рабочие станции
Для организации удаленного подключения можно также использовать инфраструктуру виртуальных рабочих мест (VDI – Virtual Desktop Infrastructure), где каждому сотруднику выделяется индивидуальная виртуальная машина с необходимой операционной системой и набором приложений.Плюсы:
- Индивидуальная рабочая среда со своим набором приложений для каждого пользователя
- Простота управления инфраструктурой, оперативность развертывания в случае аренды мощностей в ЦОД
- Возможность организации безопасной среды при использовании решения VMware NSX
- Серьезные требования к серверной инфраструктуре, приобретение и доставка необходимого оборудования займет пару месяцев
- Потребуется защита подключения к виртуальному рабочему месту с помощью многофакторной аутентификации
- Необходимость защиты данных от утечки с помощью снимков изображения с экрана
- Одно из простых и надежных решений для удаленной аутентификации пользователей по одноразовым паролям HID ActivID AAA. Доступна бесплатная версия на 10 пользователей без ограничений по функционалу и сроку использования.
- Платформа для многофакторной аутентификации и SSO - HID DigitalPersona. Решение поддерживает любые сочетания методов и условий аутентификации, включая биометрию (отпечатки пальцев, лицо), одноразовые пароли (OTP), бесконтактные карты (RFID), контактные карты и USB-токены (PKI), PIN-код и контрольные вопросы, SMS/Email/Push-уведомления, Bluetooth, FIDO и даже поведенческий анализ.
- Для защиты от копирования изображения с экрана монитора можно использовать российское решение EveryTag, которое с помощью специального алгоритма маркировки создает уникальную копию изображения информации для каждого пользователя и позволяет выявить источник утечки.
Для их защиты используются решения по многофакторной аутентификации и системы управления привилегированными пользователями (PAM), например:
- THYCOTIC Secret Server – обеспечивает доступ на сервер и сетевое оборудование без ручного ввода логина и пароля. Система автоматически генерирует уникальный многосимвольный пароль, избавляя от необходимости запоминать сложные пароли.
Есть возможность просмотреть историю действий сотрудника, что в случае необходимости позволит быстро обнаружить источник неполадок с сервером или сетевым оборудованием.
Надеемся, что наши рекомендации помогут вам организовать удаленный доступ для ваших сотрудников. Если у вас возникнут вопросы, мы всегда готовы помочь и проконсультировать вас с выбором и внедрением решения, наиболее подходящего под ваши задачи.
Будьте здоровы и работайте эффективно вне зависимости от места работы!
Получить консультацию
Получить консультацию
Другие статьи
Связаться с нами
Связаться с нами