BIS Journal №3(38)/2020

26 августа, 2020

Простые решения

Опыт компании КриптоПро по организации защищённого удалённого доступа сотрудников к корпоративным ресурсам.

В этой статье мы расскажем о том, как наша компания перешла на удалённый режим работы, в частности, об используемых нами механизмах организации безопасного удалённого доступа к рабочему месту с помощью продуктов КриптоПро и Microsoft, которые вы можете применить у себя как отдельно, так и в составе описанного далее пакета.

Для организации защищённого удалённого доступа мы используем два механизма – VPN-доступ и защищённый доступ к удалённому рабочему столу. Каждый из данных механизмов позволяет обеспечить защиту передаваемой информации в соответствии с требованиями законодательства РФ по информационной безопасности.

 

SSL/TLS VPN

Использование VPN позволяет предоставить и разграничить доступ к сетевой инфраструктуре компании. Для этих целей мы используем высокопроизводительный VPN-шлюз КриптоПро NGate и VPN-клиенты для Microsoft Windows, Applemac OS, Linux, а также iOS и Android (рис.1).

Рисунок 1. Использование VPN позволяет предоставить и разграничить доступ к сетевой инфраструктуре компании
 

Remote Desktop Gateway

Брокер удалённых подключений Microsoft Remote Desktop Gateway предназначен для получения доступа только к рабочим местам сотрудников на Microsoft Windows. Защита трафика при этом обеспечивается установкой КриптоПро CSP на шлюз доступа и клиентские компьютеры (на которых запускается клиент удалённого доступа).

Рисунок 2. Брокер удалённых подключений Microsoft Remote Desktop Gateway предназначен для получения доступа только к рабочим местам сотрудников на Microsoft Windows. Защита трафика при этом обеспечивается установкой КриптоПро CSP на шлюз доступа и клиентские компьютеры

 

Оба варианта предоставляют возможность аутентификации пользователей по логину/паролю (через Active Directory) или с помощью сертификатов/смарт-карт. Для сервера используется серверный сертификат, который мы получили в нашем УЦ.

 

Пакет «Защищённый удалённый доступ»

Для реализации описанных выше инструментов в вашей организации предлагаем вашему вниманию пакет «Защищённый удалённый доступ», который позволит вам реализовать защищённый удалённый доступ к корпоративным информационным ресурсам в соответствии с требованиями законодательства РФ по ИБ.

В состав пакета входят следующие компоненты, которые могут быть использованы как совместно, так и отдельно друг от друга:

  1. Сертифицированный ФСБ России шлюз удалённого доступа КриптоПро NGate в виртуальном исполнении, включающий в себя бесплатную трёхмесячную лицензию на 50 одновременных подключений и реализующий удалённый доступ к произвольным ресурсам с применением российских криптографических алгоритмов. В качестве клиентского компонента может использоваться любой браузер, поддерживающий ГОСТ (для подключения к веб-ресурсам), либо VPN-клиент КриптоПро NGate Client (для подключения к произвольным ресурсам, в том числе с мобильных устройств). По запросу возможно увеличение количества одновременных подключений и/или срока временной лицензии.
  2. Сертифицированный ФСБ России криптопровайдер КриптоПро CSP 4.0/5.0, включающий в себя бесплатную трёхмесячную лицензию. Совместное использование данного криптопровайдера со службой Microsoft RDG (Remote Desktop Gateway), входящей в состав современных серверных ОС Windows, способно обеспечить защищённый доступ к удалённому рабочему столу ОС Windows по протоколу RDP с применением российских криптографических алгоритмов. В качестве клиентского компонента для подключения к удалённому рабочему столу используется входящая в состав ОС Windows команда MSTSC.
  3. Сертификат аутентификации сервера (необходим для функционирования шлюзов КриптоПро NGate и Microsoft Remote Desktop Gateway), предоставляемый бесплатно и удалённо на три месяца. По запросу сертификат может быть выдан на более длительный срок. Подробности получения сертификата шлюза можно прочитать тут: http://tlsca.cryptopro.ru. Сертификат этого удостоверяющего центра уже включён в дистрибутивы КриптоПро CSP, поэтому пользователям не придётся самостоятельно настраивать доверие к сертификату шлюза.

Предлагаемые для удалённого доступа компоненты нетребовательны к системным и аппаратным ресурсам и могут быть оперативно развёрнуты специалистами организации по документации. В случае необходимости в дальнейшем возможно проведение бесшовной миграции шлюза КриптоПро NGate с виртуального исполнения на более производительное и отказоустойчивое аппаратное, с сохранением настроек и политик безопасности.

Предоставляемый пакет будет особенно полезен следующим организациям, для которых удалённый доступ должен быть защищён в соответствии с требованиями законодательства по ИБ:

  • государственным органам и подведомственным организациям для организации доступа к государственным и муниципальным информационным системам;
  • операторам персональных данных для организации доступа к информационным системам персональных данных;
  • субъектам критической информационной инфраструктуры (КИИ) для организации доступа к значимым объектам КИИ;
  • финансовым организациям для организации доступа к информационным системам.

При организации удалённого доступа предлагаем также воспользоваться рекомендациями отечественных регуляторов (Банк России, ФСТЭК России, НКЦКИ) по мерам обеспечения информационной безопасности на время удалённой работы, опубликованными на их официальных сайтах.

Смотрите также