A co z komputerami stacjonarnymi?

Use case #1 – dostęp do stacjonarnych komputerów biurowych. Bez chmury, VPN i RDP.

Wyzwanie: jak uzyskać dostęp do komputerów pozostawionych w biurach z komputerów prywatnych lub laptopów wydanych awaryjnie.

Dopiero co popełniłem krótką publikację na temat doraźnych rozwiązań do wsparcia zdalnego użytkowników. Jednak dostęp do komputerów użytkowników pracujących z domów nie jest jedynym problemem z jakim aktualnie zmagają się departamenty IT. Równie istotne (o ile nie istotniejsze) jest zapewnienie dostępu do komputerów pozostawionych w biurach. Szczególnie stacjonarnych.

Wydawać by się mogło, że to dość rzadki przypadek – szczególnie w erze komputerów przenośnych. Jednak duża część pracowników wciąż pracuje na komputerach stacjonarnych, co w oczywisty sposób utrudnia zabranie ich do domu. Żeby umożliwić pracę zdalną zastosowanie mają dwa mechanizmy. Pierwszy zakłada wydanie pracownikom w trybie awaryjnym laptopów, na których skonfigurowany jest VPN. Przy użyciu tych laptopów użytkownicy logują się do komputerów stacjonarnych przez pulpit zdalny (RDP). Drugi wariant przewiduje wykorzystanie prywatnych komputerów pracowników, do nawiązania połączenia do komputerów biurowych.

O ile pierwszy wariant wydaje się być akceptowalny i możliwy do implementacji przy stosunkowo niewielkim ryzyku. Wyzwaniem tutaj będzie obciążenie VPN, które musi zostać zestawione dla każdego z tych laptopów oraz utrudniony proces „troubleshootingu”. Niemniej, z perspektywy bezpieczeństwa takiego modelu pracy nie powinno być zastrzeżeń, ponieważ wykorzystywany jest firmowy sprzęt, firmowa sieć oraz natywne protokoły.

Dużo trudniejszy do implementacji, zwłaszcza z perspektywy bezpieczeństwa, będzie wariant drugi. Można oczywiście założyć, że pracownicy konfigurują tunele VPN na swoich prywatnych komputerach i uruchamiają pulpit zdalny swojej maszyny firmowej. Oznacza to jednak, że w sieci korporacyjnej pojawiają się setki systemów operacyjnych niezgodnych ze standardami bezpieczeństwa organizacji. Zainfekowany komputer po zestawieniu połączenia do komputera firmowego, może z łatwością „rozsiać” złośliwe oprogramowanie po całym środowisku.

Jak zatem podejść do tego zagadnienia?

BeyondTrust, oprócz rozwiązania Remote Support, które umożliwia wspieranie użytkowników pracujących z domów (bez znaczenia czy jest to komputer firmowy czy prywatny), oferuje w swoim portfelu rozwiązań system o nazwie Privilege Remote Access. W zasadzie jest to rozwiązanie klasy PAM (Privilege Access Management), ale znajduje zastosowanie także w przypadku połączeń zdalnych użytkowników „standardowych”.

Architektura systemu oparta jest o wirtualny appliance, który może zostać umieszczony w DMZ (hardenowany Linux). Appliance ten pełni rolę serwera proxy, który agreguje połączenia pomiędzy systemem docelowym, a systemem, z którego następuje połączenie. Cała komunikacja jest szyfrowana (HTTPS/443) i skierowana jest zawsze w kierunku „do appliance”. Oznacza to, że pracownik próbując nawiązać połączenie do swojego komputera stacjonarnego, zgłasza takie „żądanie”, które zostaje odnotowane na serwerze proxy, a agent na komputerze docelowym „odpytuje” appliance co kilka sekund, czy nie pojawiła się prośba o zestawienia połączenia. Jeśli takie żądanie zostanie wykryte, sesja jest zestawiana na poziomie appliance, a użytkownik nigdy nie jest połączony bezpośrednio z maszyną umieszczoną w sieci korporacyjnej. Oznacza to, że możliwe jest zestawienie bezpiecznego, szyfrowanego połączenia, bez konieczności zestawiania tunelu VPN, bez bezpośredniego połączenia RDP i bez wykorzystywania technologii opartych o infrastrukturę chmurową.

Ryc. 1 – Architektura Privilege Remote Access

Z perspektywy pracownika rozwiązanie jest bardzo proste w użyciu. Bez względu na to, czy korzysta z komputera prywatnego, czy też wydanego ad-hoc laptopa, użytkownik otwiera w przeglądarce konsolę Privilege Remote Access, gdzie widzi komputer (lub komputery), do których może nawiązać połączenie. Ograniczenie uprawnień, wyłączenie widoków oraz zastosowanie odpowiedniej polityki spowoduje, że większość funkcji zostanie ukryta, a pozostaną jedynie te elementy, które są wymagane by połączenie zostanie automatycznie nawiązane.

Ryc. 2 - konsola dostępowa Privilege Remote Access (klient WEB)

Dostęp do komputerów stacjonarnych to niewątpliwie ogromne wyzwanie. Organizacjom zależy na wdrożeniu bezpiecznego systemu, który umożliwia nadanie dostępu do komputera pozostawionego w biurze. Bez względu na to, czy użytkownik korzysta z własnego urządzenia, czy posiada zestawiony tunel VPN i z jakiego dostawcy Internetu korzysta. Z perspektywy organizacji żaden z tych elementów nie powinien być istotny. Istotne powinno być natomiast to, żeby zagwarantować pracownikom wymagany dostęp, bez kompromisów dla bezpieczeństwa.