BIS Journal №3(38)/2020

26 августа, 2020

Простые решения

Опыт компании КриптоПро по организации защищённого удалённого доступа сотрудников к корпоративным ресурсам.

В этой статье мы расскажем о том, как наша компания перешла на удалённый режим работы, в частности, об используемых нами механизмах организации безопасного удалённого доступа к рабочему месту с помощью продуктов КриптоПро и Microsoft, которые вы можете применить у себя как отдельно, так и в составе описанного далее пакета.

Для организации защищённого удалённого доступа мы используем два механизма – VPN-доступ и защищённый доступ к удалённому рабочему столу. Каждый из данных механизмов позволяет обеспечить защиту передаваемой информации в соответствии с требованиями законодательства РФ по информационной безопасности.

 

SSL/TLS VPN

Использование VPN позволяет предоставить и разграничить доступ к сетевой инфраструктуре компании. Для этих целей мы используем высокопроизводительный VPN-шлюз КриптоПро NGate и VPN-клиенты для Microsoft Windows, Applemac OS, Linux, а также iOS и Android (рис.1).

Рисунок 1. Использование VPN позволяет предоставить и разграничить доступ к сетевой инфраструктуре компании
 

Remote Desktop Gateway

Брокер удалённых подключений Microsoft Remote Desktop Gateway предназначен для получения доступа только к рабочим местам сотрудников на Microsoft Windows. Защита трафика при этом обеспечивается установкой КриптоПро CSP на шлюз доступа и клиентские компьютеры (на которых запускается клиент удалённого доступа).

Рисунок 2. Брокер удалённых подключений Microsoft Remote Desktop Gateway предназначен для получения доступа только к рабочим местам сотрудников на Microsoft Windows. Защита трафика при этом обеспечивается установкой КриптоПро CSP на шлюз доступа и клиентские компьютеры

 

Оба варианта предоставляют возможность аутентификации пользователей по логину/паролю (через Active Directory) или с помощью сертификатов/смарт-карт. Для сервера используется серверный сертификат, который мы получили в нашем УЦ.

 

Пакет «Защищённый удалённый доступ»

Для реализации описанных выше инструментов в вашей организации предлагаем вашему вниманию пакет «Защищённый удалённый доступ», который позволит вам реализовать защищённый удалённый доступ к корпоративным информационным ресурсам в соответствии с требованиями законодательства РФ по ИБ.

В состав пакета входят следующие компоненты, которые могут быть использованы как совместно, так и отдельно друг от друга:

  1. Сертифицированный ФСБ России шлюз удалённого доступа КриптоПро NGate в виртуальном исполнении, включающий в себя бесплатную трёхмесячную лицензию на 50 одновременных подключений и реализующий удалённый доступ к произвольным ресурсам с применением российских криптографических алгоритмов. В качестве клиентского компонента может использоваться любой браузер, поддерживающий ГОСТ (для подключения к веб-ресурсам), либо VPN-клиент КриптоПро NGate Client (для подключения к произвольным ресурсам, в том числе с мобильных устройств). По запросу возможно увеличение количества одновременных подключений и/или срока временной лицензии.
  2. Сертифицированный ФСБ России криптопровайдер КриптоПро CSP 4.0/5.0, включающий в себя бесплатную трёхмесячную лицензию. Совместное использование данного криптопровайдера со службой Microsoft RDG (Remote Desktop Gateway), входящей в состав современных серверных ОС Windows, способно обеспечить защищённый доступ к удалённому рабочему столу ОС Windows по протоколу RDP с применением российских криптографических алгоритмов. В качестве клиентского компонента для подключения к удалённому рабочему столу используется входящая в состав ОС Windows команда MSTSC.
  3. Сертификат аутентификации сервера (необходим для функционирования шлюзов КриптоПро NGate и Microsoft Remote Desktop Gateway), предоставляемый бесплатно и удалённо на три месяца. По запросу сертификат может быть выдан на более длительный срок. Подробности получения сертификата шлюза можно прочитать тут: http://tlsca.cryptopro.ru. Сертификат этого удостоверяющего центра уже включён в дистрибутивы КриптоПро CSP, поэтому пользователям не придётся самостоятельно настраивать доверие к сертификату шлюза.

Предлагаемые для удалённого доступа компоненты нетребовательны к системным и аппаратным ресурсам и могут быть оперативно развёрнуты специалистами организации по документации. В случае необходимости в дальнейшем возможно проведение бесшовной миграции шлюза КриптоПро NGate с виртуального исполнения на более производительное и отказоустойчивое аппаратное, с сохранением настроек и политик безопасности.

Предоставляемый пакет будет особенно полезен следующим организациям, для которых удалённый доступ должен быть защищён в соответствии с требованиями законодательства по ИБ:

  • государственным органам и подведомственным организациям для организации доступа к государственным и муниципальным информационным системам;
  • операторам персональных данных для организации доступа к информационным системам персональных данных;
  • субъектам критической информационной инфраструктуры (КИИ) для организации доступа к значимым объектам КИИ;
  • финансовым организациям для организации доступа к информационным системам.

При организации удалённого доступа предлагаем также воспользоваться рекомендациями отечественных регуляторов (Банк России, ФСТЭК России, НКЦКИ) по мерам обеспечения информационной безопасности на время удалённой работы, опубликованными на их официальных сайтах.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
11.10.2024
Оплата картой «Мир» в Никарагуа — вопрос перспективы
11.10.2024
CISA и ФБР опасаются, что иранские хакеры могут навредить выборам
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных