Удаленный доступ к ресурсам

Сегодня практически любой бизнес должен решить задачу организации удаленного доступа к ресурсам для своих сотрудников и партнеров. Это может быть защищенный доступ к электронной почте или удаленному рабочему столу, доступ к внутренней CRM системе, к опубликованному на терминальном сервере приложению или же доступ к сетевому диску. Чтобы не отставать от конкурентов, сотрудникам нужна максимальная мобильность. Задача руководителей IT и информационной безопасности в том, чтобы найти оптимальное решение. Это решение должно выполнять все задачи бизнеса и полностью удовлетворять политике безопасности организации.

Такое решение может быть построено на базе сервера neXus Hybrid Access Gateway (HAG). Доступ к веб-ресурсам обеспечивается через шлюз доступа Access Point, который является реверс-прокси, терминируя HTTP и HTTPS соединения. Не нужно выполнять специальные мероприятия по защите веб-интерфейса каждого приложения в отдельности. Вместо этого все необходимые параметры (версия протокола TLS, алгоритмы шифрования, таймауты и пр.) настраиваются на шлюзе доступа Access Point. Расширенный функционал по фильтрации трафика позволяет дополнительно защитить веб-ресурсы.

Если нужно предоставить сотрудникам безопасный доступ к удаленному рабочему столу или любому опубликованному на терминальном сервере приложению, то можно использовать функционал RDP в браузере. Для этого сотруднику достаточно быть обладателем любого устройства с браузером. RDP в браузере позволяет запускать удаленный рабочий стол полностью, либо отдельные приложения в любом современном браузере.

RDP в браузере

RDP в браузере

Так же доступно VPN-туннелирование, которое позволит, например, подключить сетевой диск, то есть у пользователей появится удобный и защищенный доступ к файлам, или работать в 1С с программы-клиента, установленного на локальном компьютере. Другими словами, это может быть любое классическое приложение или сервис.

Еще одной составляющей решения является Single Sign-on. Это позволяет не запоминать учетные данные защищаемых ресурсов. Таким образом пользователь, пройдя аутентификацию единожды, уже не вводит пароли своих учетных записей во всех доступных приложениях. Это не только упрощает работу пользователей, но и позволяет использовать более сложные и длинные пароли на целевых системах, что делает попытки подбора практически бессмысленными.

Будучи промышленным сервером аутентификации, neXus HAG обладает широчайшими возможности по многофакторной аутентификации. Поддерживаются такие методы проверки подлинности, как OATH HOTP, TOTP, OCRA, одноразовые коды по SMS или email, сертификаты PKI, мобильное приложение и многие другие.

Поддержка открытых стандартов OATH оставляет свободу в выборе поставщиков генераторов OTP. Допускается использование и программных генераторов одноразовых паролей.

Аутентификация по одноразовым паролям OTP

Аутентификация по одноразовым паролям OTP

Новейшее мобильное приложение позволяет осуществлять многофакторную аутентификацию на базе асимметричной криптографии очень простым и удобным для пользователя способом: сверкой изображения на мониторе и смартфоне и последующим вводом PIN-кода в приложении. Workflow аутентификации в таком случае крайне простой для пользователя. Он вводит только имя пользователя и на экране отображается картинка. Пользователь сравнивает эту картинку с той, которая у него отображается в этот момент в мобильном приложении на смартфоне и если картинки совпадают, то подтверждает это в мобильном приложении, а так же вводит свой ПИН-код в этом приложении. После этого на смартфоне происходит подпись полученного от сервера аутентификации случайного значения закрытым ключом. Сервер проверяет подписанное значение и принимает решение об аутентификации пользователя.

Это же мобильное приложение может использоваться и для электронной подписи.

Решение на базе сервера neXus HAG так же поддерживает такие протоколы и промышленные стандарты, как RADIUS, SAML 2.0 и OAuth 2.0.

Решение соответствует набирающей популярность концепции BYOD (Bring Your Own Device) – когда сотрудники используют свои личные устройства для работы. К тому же, neXus HAG может производить проверку типа устройства, IP адреса и другие параметры, на основании которых принимать решение о предоставлении защищенного доступа к тому или иному ресурсу.
Таким образом, предлагаемое решение позволяет не только предоставить защищенный удаленный доступ к любому приложению, но и повысить безопасность доступа к предоставляемым ресурсам благодаря многофакторной аутентификации, фильтрации трафика, настраиваемых правил доступа, Single Sign-on.



YES Bank Case Study (.PDF)

Absolut Case Study (.PDF)

Сервер аутентификации

neXus Hybtid Access Gateway