Comments 8
Вроде и красиво написано, но часть моментов как минимум спорные, часть вообще непонятные.
Самое простое для входа в сеть — 2х факторная аутентификация на VPN шлюзе, второй фактор можно присылать по sms или через push уведомление приложения, которое можно даже на коленке написать за день.
Не говоря уже про готовые 3rd party решения.
Непонятно, чем плохо пускать удалённых сотрудников на свою рабочую станцию из офиса?
Сотрудник уже аутентифицировался на VPN шлюзе, а потом логинится на свою рабочую станцию при помощи доменного пароля.
Этого мало?
Есть немалое количество ограничений по внедрению двухфакторной аутентификации в крупном корпоративном Заказчики. Погружаться в детали в данной статье бы не хотелось.
При предоставлении удаленного доступа как правило внутреннее ИБ пытается минимизировать доступ до минимально требуемого. То есть только самые критичные для работы системы. Происходит это в первую очередь из-за рисков компрометации, например, самой удаленной рабочей станции (если это домашняя машина). Собственно эту проблемы мы описывали в статье. Находясь внутри контура, доступы, как правило, сильно шире.
При предоставлении удаленного доступа как правило внутреннее ИБ пытается минимизировать доступ до минимально требуемого. То есть только самые критичные для работы системы. Происходит это в первую очередь из-за рисков компрометации, например, самой удаленной рабочей станции (если это домашняя машина). Собственно эту проблемы мы описывали в статье. Находясь внутри контура, доступы, как правило, сильно шире.
Основная проблема доступа к информационным ресурсам сети Интернет состоит в том, что точка подключения к ней становится частью этой сети и, как следствие, становится общедоступной
Перефразируя Архимеда, который говорил «дайте мне точку опоры и я переверну Землю», можно сказать «дайте мне точку подключения вашей сети к сети Интернет и я взломаю вашу сеть».
Я в штатах работаю в большой компании (десятки тысяч рабочих).
Офисы закрыты, всем, кто может сказали работать из дома.
VPN теперь перегружен.
Вчера прислали email:
И это правильно. Пора уже научиться не компостировать простым людям мозги VPN'ом.
Офисы закрыты, всем, кто может сказали работать из дома.
VPN теперь перегружен.
Вчера прислали email:
… у нас много сервисов работает без VPN: Zoom, Slack, Email, несколько внутренних CRM и т.д. Поэтому кто может — работайте без VPN.
И это правильно. Пора уже научиться не компостировать простым людям мозги VPN'ом.
В целом вы правы. И чаты, и конференции, и ВКС сейчас массово переезжают в облака. Но в больших корпоративных Заказчиках все-таки большой кусок систем находится внутри: CRM, документооборот, системы управления заявок. Поэтому совсем без VPN чаще всего не обойтись.
Одним из требований безопасников в «мирное» время может быть обязательное шлюзование всего трафика с удаленной машины через VPN (актуально для VPN посредством установки приложения вендора VPN, которое еще и собирает кучу телеметрии с подключаемой к VPN машины).
Sign up to leave a comment.
Как защитить удаленных сотрудников, или Безопасность в режиме home office