Защищенный
удаленный доступ
к корпоративным ресурсам

Решение на основе Indeed AM обеспечивает защиту доступа в корпоративные ИТ-системы и приложения, которыми сотрудники пользуются при работе вне офиса

Запланировать демонстрацию

Описание решения

Сегодня большинство государственных и коммерческих организаций, за исключением режимных предприятий, налаживают работу на удаленной основе. Они могут переводить на дистанционную модель деятельности как отдельных сотрудников, так и целые подразделения.

Существуют два вида удаленной работы, различающихся по продолжительности:

  • временная – когда сотрудник или подразделение трудятся дистанционно в силу преходящих объективных причин, к числу которых относятся командировка, болезнь и иные ситуации;
  • постоянная – когда иная модель, кроме удаленной работы, вообще не предполагается.

Один из важнейших аспектов организации дистанционной работы – предоставление удаленного доступа к корпоративным ресурсам. Для подобного формата деятельности могут использоваться следующие ресурсы удаленного доступа:

  • корпоративные веб-ресурсы;
  • серверы приложений (терминальные серверы);
  • RDP-сервер;
  • VPN-шлюзы;
  • виртуализация рабочих мест (VDI-сервера).

Важно отметить, что при удаленной работе некоторые технические, организационные и физические меры защиты информации неприменимы. Например, обеспечить физическую защиту удаленного рабочего места попросту невозможно, а использовать средства технической защиты информации, относящиеся к уровню периметра сети, весьма нелегко. Поэтому механизмы защиты удаленного доступа должны прежде всего обеспечивать защиту корпоративных ресурсов, к которым подключаются сотрудники, и рабочих мест персонала.

Ниже перечислены факторы, которые обусловливают основные риски в области информационной безопасности при удаленной работе:

  • низкий уровень защищенности личного устройства сотрудника;
  • низкий уровень защищенности сетевого окружения рабочего места сотрудника (независимо от того, работает ли он на личном устройстве или использует решение, предоставленное организацией);
  • неконтролируемые подключения к ресурсам со смартфонов и планшетов;
  • прямой доступ в интернет с рабочих станций, обслуживающих критичные процессы;
  • невозможность или высокая сложность применения корпоративных средств защиты на уровне сети (включая средства выявления аномалий);
  • открытие доступа извне к критичным ресурсам организации;
  • изменение архитектуры сетевого взаимодействия для предоставления доступа к рабочим ресурсам в сжатые сроки, зачастую без моделирования угроз;
  • чрезмерный объем полномочий, предоставляемых сотрудникам.

Все ресурсы ИТ-инфраструктуры (объекты доступа) предоставляют доступ именованным субъектам доступа (пользователям). Поэтому одна из первоочередных задач при построении системы защиты информации – не допустить нелегитимного использования учетных данных сотрудника для подключения к корпоративным сервисам (то есть кражи учетных данных). Таким образом, необходимо обеспечить надежную аутентификацию при удаленном доступе.

Оптимальный способ защиты удаленного подключения – использование программно-аппаратного обеспечения, реализующего единые сценарии усиленной аутентификации при подключении ко всем ресурсам, доступным извне. Такое комплексное решение должно состоять из специализированных программных и аппаратных компонентов, реализующих усиленную аутентификацию, а также продукта, который поддерживает усиленную аутентификацию для различных корпоративных ресурсов, – Two-Factor Authentication Provider (2FA provider).

Используя специализированные решения, позволяющие интегрировать ресурсы для удаленного доступа со средствами усиленной аутентификации, можно применять единый комплекс методов аутентификации для удаленного доступа ко всем целевым ресурсам.

Платформа Indeed AM обеспечивает такую интеграцию, а также выполнение самых насущных задач безопасного удаленного доступа. К ним, в частности, относятся:

  • защита VPN-подключения;
  • защита RDP-подключения;
  • защита подключения к публичным веб-ресурсам;
  • реализация единой системы контроля удаленного доступа.

Для создания системы безопасного удаленного подключения можно использовать следующие средства усиленной аутентификации:

  • доставку одноразовых паролей с помощью электронной почты, SMS-сообщений, Telegram-бота;
  • push-аутентификацию;
  • мобильные приложения – генераторы одноразовых паролей;
  • аппаратные устройства, генерирующие одноразовые пароли.

Решение Indeed AM позволяет назначать различные методы усиленной аутентификации в зависимости от группы пользователей и конкретного целевого ресурса, поэтому можно подобрать оптимальный комплекс методов для каждой группы сотрудников, учитывая уровень критичности данных, к которым они имеют доступ.

Поскольку для удаленного доступа используются методы усиленной аутентификации, вполне допустимо применять единый набор аутентификаторов для доступа ко всем ресурсам. А при необходимости эти же аутентификаторы можно использовать и для локального доступа.

Кроме того, платформа Indeed AM позволяет нейтрализовать атаки, имеющие целью саботировать деятельность организации путем удаленной блокировки доменных учетных записей, например через публичную веб-страницу электронной почты. В ходе таких атак злоумышленники, зная идентификатор учетной записи, целенаправленно вводят некорректные пароли. При попытке осуществления подобной атаки блокируется только аутентификатор для удаленного доступа, но не сама учетная запись.

Поддерживаемые каталоги пользователей

  • Active Directory
  • СУБД (SQL)

Поддерживаемые целевые ресурсы

  • Microsoft Remote Desktop Server
  • Microsoft Internet Information Services
  • Веб-приложения
  • VPN-серверы
  • Серверы приложений
  • Виртуальные рабочие столы (VDI)

Поддерживаемые механизмы интеграции с целевыми приложениями

  • RADIUS
  • ADFS
  • SAML
  • OpenID Connect
  • OAuth 2.0
  • Kerberos
  • Enterprise Single Sign-On

Поддерживаемые технологии усиленной аутентификации для удаленного доступа

  • Одноразовые пароли (TOTP/HOTP)
  • Push-аутентификация
  • Цифровые сертификаты

Поддерживаемые средства усиленной аутентификации для удаленного доступа

  • Мобильные приложения – генераторы одноразовых паролей (Indeed Key, Google Authenticator, «Яндекс.Ключ» и другие, поддерживающие протокол HOTP/TOTP)
  • Аппаратные брелоки – генераторы одноразовых паролей (eToken PASS и другие, поддерживающие протокол HOTP/TOTP)
  • Собственное приложение Indeed Key для генерации одноразовых паролей и push-аутентификации
  • Доставка одноразовых паролей с помощью электронной почты, SMS-сообщений и Telegram-бота

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по продукту Indeed AM

Владислав Фомичев

Эксперт по продукту Indeed AМ

Денис Павлов

Эксперт по продукту Indeed AМ

другие решения