Варианты организации удаленного доступа сотрудников: плюсы и минусы

Сейчас многие организации вынуждены переводить своих сотрудников на удаленный формат работы. Давайте рассмотрим 3 основных способа, как организовать удаленный доступ к ИТ-ресурсам компании, и оценим преимущества и недостатки каждого из них.

1. Через VPN клиент

Это самый быстрый и простой способ. Подходит для тех организаций, у которых уже есть межсетевой экран или маршрутизатор с возможностью организации VPN подключения клиентов. Сотрудники могут работать удаленно с корпоративных ноутбуков с установленным на них VPN клиентом либо же подключаться к своим рабочим станциям с персональных ПК/ноутбуков, на который нужно установить VPN клиент.

Плюсы:

• Возможность быстро организовать доступ сотрудников
• Минимальные вложения, достаточно расширить лицензию на большее количество пользователей

Минусы:

• Риск перехвата учетных данных пользователей (логины и пароли). Фишинговые атаки никто не отменял, поэтому удаленный доступ требует дополнительной защиты с помощью многофакторной аутентификации.
• Если пользователи используют персональные ноутбуки или ПК, важно убедиться, что у них установлен антивирус, и он регулярно обновляется. Аналогично нужно проверить антивирусную защиту на всех серверах компании и установленные обновления. Лучше всего, чтобы была подключена подписка на угрозы 0 дня.
• Есть опасность утечки конфиденциальных данных с помощью копирования изображения с экрана монитора.

2. Через RDP

Еще один способ удаленного подключения - организация работы через терминальный сервер (служба Microsoft Remote Desktop Services). В этом случае сотрудники со своих персональных ПК/ноутбуков подключаются через интернет к серверу компании, на котором установлены корпоративные приложения.

Плюсы:

• Оперативный доступ к корпоративным ресурсам при наличии свободного, но достаточно мощного сервера или виртуальной машины
• Возможность получить бесплатную лицензию для установки сервера на срок до 180 дней (на сайте Microsoft)
• Простые меры по обеспечению безопасности – установка антивируса, DLP агента на сервер

Минусы:

• Ограниченный перечень установленного ПО на терминальном сервере. В основном, это только типовые приложения, специальные программы для отдельных групп пользователей будет сложно установить.
• Необходимо организовать многофакторную аутентификацию для подключения в терминальную сессию.
• Как и при подключении через VPN клиент, существует риск утечки конфиденциальных данных путем снимков с экрана.

3. Виртуальные рабочие станции

Для организации удаленного подключения можно также использовать инфраструктуру виртуальных рабочих мест (VDI – Virtual Desktop Infrastructure), где каждому сотруднику выделяется индивидуальная виртуальная машина с необходимой операционной системой и набором приложений.

Плюсы:

• Индивидуальная рабочая среда со своим набором приложений для каждого пользователя
• Простота управления инфраструктурой, оперативность развертывания в случае аренды мощностей в ЦОД
• Возможность организации безопасной среды при использовании решения VMware NSX

Минусы:

• Серьезные требования к серверной инфраструктуре, приобретение и доставка необходимого оборудования займет пару месяцев
• Потребуется защита подключения к виртуальному рабочему месту с помощью многофакторной аутентификации
• Необходимость защиты данных от утечки с помощью снимков изображения с экрана

Какой бы из вариантов вы не выбрали, мы подготовили для вас перечень рекомендуемых нами решений, которые помогут обезопасить удаленный доступ ваших сотрудников:

• Одно из простых и надежных решений для удаленной аутентификации пользователей по одноразовым паролям HID ActivID AAA. Доступна бесплатная версия на 10 пользователей без ограничений по функционалу и сроку использования.
• Платформа для многофакторной аутентификации и SSO - HID DigitalPersona. Решение поддерживает любые сочетания методов и условий аутентификации, включая биометрию (отпечатки пальцев, лицо), одноразовые пароли (OTP), бесконтактные карты (RFID), контактные карты и USB-токены (PKI), PIN-код и контрольные вопросы, SMS/Email/Push-уведомления, Bluetooth, FIDO и даже поведенческий анализ.
• Для защиты от копирования изображения с экрана монитора можно использовать российское решение EveryTag, которое с помощью специального алгоритма маркировки создает уникальную копию изображения информации для каждого пользователя и позволяет выявить источник утечки.

Не забывайте также о защите доступа сотрудников с расширенными правами. В любой организации расширенными правами наделены сотрудники ИТ-департаментов, которые осуществляют административные задачи с серверами и сетевым оборудованием. Именно поэтому эта группа пользователей представляет особый интерес для злоумышленников.

Для их защиты используются решения по многофакторной аутентификации и системы управления привилегированными пользователями (PAM), например: 

• THYCOTIC Secret Server – обеспечивает доступ на сервер и сетевое оборудование без ручного ввода логина и пароля. Система автоматически генерирует уникальный многосимвольный пароль, избавляя от необходимости запоминать сложные пароли.
  Есть возможность просмотреть историю действий сотрудника, что в случае необходимости позволит быстро обнаружить источник неполадок с сервером или сетевым оборудованием. 

Надеемся, что наши рекомендации помогут вам организовать удаленный доступ для ваших сотрудников. Если у вас возникнут вопросы, мы всегда готовы помочь и проконсультировать вас с выбором и внедрением решения, наиболее подходящего под ваши задачи.

Будьте здоровы и работайте эффективно вне зависимости от места работы!

Получить консультацию