pl
NIS2 DORA Strefa Partnera

A co z komputerami stacjonarnymi?

Use case #1 – dostęp do stacjonarnych komputerów biurowych. Bez chmury, VPN i RDP.

Wyzwanie: jak uzyskać dostęp do komputerów pozostawionych w biurach z komputerów prywatnych lub laptopów wydanych awaryjnie.

Dopiero co popełniłem krótką publikację na temat doraźnych rozwiązań do wsparcia zdalnego użytkowników. Jednak dostęp do komputerów użytkowników pracujących z domów nie jest jedynym problemem z jakim aktualnie zmagają się departamenty IT. Równie istotne (o ile nie istotniejsze) jest zapewnienie dostępu do komputerów pozostawionych w biurach. Szczególnie stacjonarnych.

Wydawać by się mogło, że to dość rzadki przypadek – szczególnie w erze komputerów przenośnych. Jednak duża część pracowników wciąż pracuje na komputerach stacjonarnych, co w oczywisty sposób utrudnia zabranie ich do domu. Żeby umożliwić pracę zdalną zastosowanie mają dwa mechanizmy. Pierwszy zakłada wydanie pracownikom w trybie awaryjnym laptopów, na których skonfigurowany jest VPN. Przy użyciu tych laptopów użytkownicy logują się do komputerów stacjonarnych przez pulpit zdalny (RDP). Drugi wariant przewiduje wykorzystanie prywatnych komputerów pracowników, do nawiązania połączenia do komputerów biurowych.

O ile pierwszy wariant wydaje się być akceptowalny i możliwy do implementacji przy stosunkowo niewielkim ryzyku. Wyzwaniem tutaj będzie obciążenie VPN, które musi zostać zestawione dla każdego z tych laptopów oraz utrudniony proces „troubleshootingu”. Niemniej, z perspektywy bezpieczeństwa takiego modelu pracy nie powinno być zastrzeżeń, ponieważ wykorzystywany jest firmowy sprzęt, firmowa sieć oraz natywne protokoły.

Dużo trudniejszy do implementacji, zwłaszcza z perspektywy bezpieczeństwa, będzie wariant drugi. Można oczywiście założyć, że pracownicy konfigurują tunele VPN na swoich prywatnych komputerach i uruchamiają pulpit zdalny swojej maszyny firmowej. Oznacza to jednak, że w sieci korporacyjnej pojawiają się setki systemów operacyjnych niezgodnych ze standardami bezpieczeństwa organizacji. Zainfekowany komputer po zestawieniu połączenia do komputera firmowego, może z łatwością „rozsiać” złośliwe oprogramowanie po całym środowisku.

Jak zatem podejść do tego zagadnienia?

BeyondTrust, oprócz rozwiązania Remote Support, które umożliwia wspieranie użytkowników pracujących z domów (bez znaczenia czy jest to komputer firmowy czy prywatny), oferuje w swoim portfelu rozwiązań system o nazwie Privilege Remote Access. W zasadzie jest to rozwiązanie klasy PAM (Privilege Access Management), ale znajduje zastosowanie także w przypadku połączeń zdalnych użytkowników „standardowych”.

Architektura systemu oparta jest o wirtualny appliance, który może zostać umieszczony w DMZ (hardenowany Linux). Appliance ten pełni rolę serwera proxy, który agreguje połączenia pomiędzy systemem docelowym, a systemem, z którego następuje połączenie. Cała komunikacja jest szyfrowana (HTTPS/443) i skierowana jest zawsze w kierunku „do appliance”. Oznacza to, że pracownik próbując nawiązać połączenie do swojego komputera stacjonarnego, zgłasza takie „żądanie”, które zostaje odnotowane na serwerze proxy, a agent na komputerze docelowym „odpytuje” appliance co kilka sekund, czy nie pojawiła się prośba o zestawienia połączenia. Jeśli takie żądanie zostanie wykryte, sesja jest zestawiana na poziomie appliance, a użytkownik nigdy nie jest połączony bezpośrednio z maszyną umieszczoną w sieci korporacyjnej. Oznacza to, że możliwe jest zestawienie bezpiecznego, szyfrowanego połączenia, bez konieczności zestawiania tunelu VPN, bez bezpośredniego połączenia RDP i bez wykorzystywania technologii opartych o infrastrukturę chmurową.

Ryc. 1 – Architektura Privilege Remote Access

Z perspektywy pracownika rozwiązanie jest bardzo proste w użyciu. Bez względu na to, czy korzysta z komputera prywatnego, czy też wydanego ad-hoc laptopa, użytkownik otwiera w przeglądarce konsolę Privilege Remote Access, gdzie widzi komputer (lub komputery), do których może nawiązać połączenie. Ograniczenie uprawnień, wyłączenie widoków oraz zastosowanie odpowiedniej polityki spowoduje, że większość funkcji zostanie ukryta, a pozostaną jedynie te elementy, które są wymagane by połączenie zostanie automatycznie nawiązane.

Ryc. 2 - konsola dostępowa Privilege Remote Access (klient WEB)

Dostęp do komputerów stacjonarnych to niewątpliwie ogromne wyzwanie. Organizacjom zależy na wdrożeniu bezpiecznego systemu, który umożliwia nadanie dostępu do komputera pozostawionego w biurze. Bez względu na to, czy użytkownik korzysta z własnego urządzenia, czy posiada zestawiony tunel VPN i z jakiego dostawcy Internetu korzysta. Z perspektywy organizacji żaden z tych elementów nie powinien być istotny. Istotne powinno być natomiast to, żeby zagwarantować pracownikom wymagany dostęp, bez kompromisów dla bezpieczeństwa.

Dostawcy oprogramowania

BeyondTrust

Powiązane produkty

BeyondTrust Remote Support
BeyondTrust Privileged Remote Access

Powiązane rozwiązania

Infrastructure Management & Security
Identity & Access Management

Polecane artykuły

Bezpieczne połączenia zdalne (PAM) bez tuneli VPN

W dzisiejszym świecie, gdzie outsourcing IT i zarządzanie aplikacjami oraz systemami serwerowymi przez firmy zewnętrzne jest normą, bezpieczeństwo połączeń zdalnych stało się kluczowym wyzwaniem…

 BeyondTrust

BeyondTrust zwiększa bezpieczeństwo kont uprzywilejowanych za pomocą sprzętowego MFA

BeyondTrust jest światowym liderem w zarządzaniu dostępem uprzywilejowanym (PAM), oferującym szeroki zakres rozwiązań do zarządzania tożsamością i dostępem, które wspierają klientów we wszystkich branżach…

 BeyondTrust Yubico

BeyondTrust uznany za lidera w raporcie Forrester Wave™ dotyczącym zarządzania tożsamością uprzywilejowaną (IV kwartał 2023)

Wyczekiwany raport Forrester Wave™: Privileged Identity Management, Q4 2023 jest już dostępny – i z wielką radością ogłaszamy, że BeyondTrust zdobył pozycję lidera!

 BeyondTrust