

Опыт компании КриптоПро по организации защищённого удалённого доступа сотрудников к корпоративным ресурсам.
В этой статье мы расскажем о том, как наша компания перешла на удалённый режим работы, в частности, об используемых нами механизмах организации безопасного удалённого доступа к рабочему месту с помощью продуктов КриптоПро и Microsoft, которые вы можете применить у себя как отдельно, так и в составе описанного далее пакета.
Для организации защищённого удалённого доступа мы используем два механизма – VPN-доступ и защищённый доступ к удалённому рабочему столу. Каждый из данных механизмов позволяет обеспечить защиту передаваемой информации в соответствии с требованиями законодательства РФ по информационной безопасности.
SSL/TLS VPN
Использование VPN позволяет предоставить и разграничить доступ к сетевой инфраструктуре компании. Для этих целей мы используем высокопроизводительный VPN-шлюз КриптоПро NGate и VPN-клиенты для Microsoft Windows, Applemac OS, Linux, а также iOS и Android (рис.1).
Рисунок 1. Использование VPN позволяет предоставить и разграничить доступ к сетевой инфраструктуре компании
Remote Desktop Gateway
Брокер удалённых подключений Microsoft Remote Desktop Gateway предназначен для получения доступа только к рабочим местам сотрудников на Microsoft Windows. Защита трафика при этом обеспечивается установкой КриптоПро CSP на шлюз доступа и клиентские компьютеры (на которых запускается клиент удалённого доступа).
Рисунок 2. Брокер удалённых подключений Microsoft Remote Desktop Gateway предназначен для получения доступа только к рабочим местам сотрудников на Microsoft Windows. Защита трафика при этом обеспечивается установкой КриптоПро CSP на шлюз доступа и клиентские компьютеры
Оба варианта предоставляют возможность аутентификации пользователей по логину/паролю (через Active Directory) или с помощью сертификатов/смарт-карт. Для сервера используется серверный сертификат, который мы получили в нашем УЦ.
Пакет «Защищённый удалённый доступ»
Для реализации описанных выше инструментов в вашей организации предлагаем вашему вниманию пакет «Защищённый удалённый доступ», который позволит вам реализовать защищённый удалённый доступ к корпоративным информационным ресурсам в соответствии с требованиями законодательства РФ по ИБ.
В состав пакета входят следующие компоненты, которые могут быть использованы как совместно, так и отдельно друг от друга:
Предлагаемые для удалённого доступа компоненты нетребовательны к системным и аппаратным ресурсам и могут быть оперативно развёрнуты специалистами организации по документации. В случае необходимости в дальнейшем возможно проведение бесшовной миграции шлюза КриптоПро NGate с виртуального исполнения на более производительное и отказоустойчивое аппаратное, с сохранением настроек и политик безопасности.
Предоставляемый пакет будет особенно полезен следующим организациям, для которых удалённый доступ должен быть защищён в соответствии с требованиями законодательства по ИБ:
При организации удалённого доступа предлагаем также воспользоваться рекомендациями отечественных регуляторов (Банк России, ФСТЭК России, НКЦКИ) по мерам обеспечения информационной безопасности на время удалённой работы, опубликованными на их официальных сайтах.