زیرساخت مناسب دورکاری
زیرساخت مناسب دورکاری
در عصر امروز به طور کلی 3 نوع زیرساخت مناسب برای دورکاری داریم:
- Remote Desktop
- VPN با Remote Desktop
- VDI
باید توجه داشته باشید که تعداد کاربرهای یک سازمان، بزرگی سازمان را مشخص نمیکنند. بلکه دادههای سازمان هستند که نشانگر اندازه، بزرگی و ارزش یک سازمان میباشد. به عنوان مثال شاید سازمانی وجود داشته باشد که 3 یا 4 ترابایت داده داشته باشد که آن 3 یا 4 ترابایت به اندازه چندین میلیارد ارزش داشته باشد. پس به هرنحوی که شده این دادهها باید حفظ و نگهداری شوند. زیرا با ازدست رفتن آنها شرکت ورشکست شده و عملا بیاستفاده میشود.
از دست رفتن دادهها میتواند بر اثر ویروس یا باج افزار باشد، Encryption و یا دزدی اطلاعات اتفاق بیفتد. سازمان سریعا متوجه دزدی اطلاعات نمیشود و ممکن است دزدی اطلاعات سالها اتفاق بیفتد و یک شرکت دومی راهاندازی شده که از دادههای شرکت اول استفاده کند. سریعا خودش را بالا بکشد و شرکت مادر را نابود کند. پس لازم است برای حفظ امنیت دادهها و اطلاعات سازمان تصمیماتی اتخاذ شود تا به این زیرساختها لطمهای وارد نشود.
تکنیک Remote Desktop
سادهترین و دمدستترین روش، تکنیک Remote Desktop است. در این روش به راحتی و با کمترین هزینه در داخل یک مودم عملیات Port Forwarding انجام میشود و کاربر نهایی از طریق آن به سرور در داخل سازمان متصل میشود. تجهیزات مورد نیاز برای پیادهسازی این روش، یک مودم و اینترنت نسبتا خوب با IP ثابت که روی آن Port Forward انجام شود، میباشد.
مشکل این روش این است که در عین سادگی خیلی راحت مورد حمله قرار میگیرد. چون کاربر نهایی بعد از آنکه Remote Desktop را استفاده میکند، مستقیما به سرور نهایی وصل شده و به راحتی میتواند اطلاعات را Copy، Past کند، سازمان را آلوده به ویروسهای مختلف کند و یا کلا همه چیز را Delete و Format کرده و از بین ببرد.
تکنیک VPN با Remote Desktop یا تکنیک VPN و RDP
روش بعدی که نسبت به روش قبل بهتر و هزینهبرتر است، تکنیک VPN و RDP است. برای پیادهسازی این روش به یک Router که VPN را Support کند و یک اینترنت خوب نیاز است. در این روش نیز کاربر نهایی بعد از آنکه به VPN متصل شد، مستقیما با سرور در ارتباط است. سپس به راحتی میتواند عمل Copy، Past و هر تخریب دیگری را بدون آنکه مانیتور شود، برای ادمین Visibility داشته باشد را انجام دهد. فرض کنید یک سازمان بنابه دلایلی میبایست زیرساخت مناسبی برای دورکاری را فراهم کند تا کاربرهایش دورکاری را انجام دهند. این سازمان از تکنیک دوم استفاده میکند و VPNای را راهاندازی میکند و روی VPN برای کاربرانش اینترنت ارائه میدهد.
در این حالت اینترنت هم از سمت کاربر و هم از سمت سازمان استفاده میشود. چون کاربر برای متصل شدن به سازمان باید تمام بستههایش را از آن VPN عبور دهد. در نهایت هم سمت خود کاربر اینترنت مصرف میشود و هم در سمت خود سازمان. پس این روش هزینهبر است. از طرف دیگر اگر کاربر Untrusted باشد و از VPN استفاده کند، میتواند از IP Public سازمان سواستفادههای مختلفی را انجام دهد. پس اگر ادمین بخواهد روی بستههای اینترنتی آن کاربر مانیتور داشته باشد مجبور است از Fire Wall قدرتمند و گرانتری استفاده کند.
VPN چیست؟
امروزه کلمه VPN خیلی مورد استفاده قرار میگیرد. ولی در اینجا منظور از VPN، فیلترشکن نیست. بلکه منظور این است که کاربر نهایی در هر کجای دنیا بتواند از طریق پروتکلهای VPN که انواع و اقسام مختلفی دارند به سازمان متصل شوند. همچنین بتواند همان فضای سازمانی که در داخل آن شرکت به صورت فیزیکی داشت، در خانه و یا در هر مکانی که حضور دارد حس کند و بعد از آنکه VPN را زد و به سازمان متصل شد از RDP یا سرویسهای دیگر استفاده کند.
امنیت دورکاری با روش VPN با Remote Desktop
پس این روش در مقایسه با روش اول کمی گرانتر است و نیاز به Router و Fire Wall کنترلی دارد تا یک سری محدودیتها اعمال شود و به کاربر اجازه دسترسی به سرورهای محدودی داده شود. با اینکه امنیت این روش نسبت به روش قبل بیشتر است ولی کاربر در نهایت به پورتی که برایش مجاز است ارتباط مستقیم دارد و میتواند عمل Copy، Past و… را انجام دهد.
تکنیک VDI
روش سوم تکنیک VDI است. این روش از سیستمی به نام Unifi Access Gateway (UAG) استفاده میشود. در این روش همانند روشهای قبلی از Router و Fire Wall استفاده میشود و به جای استفاده از VPN، بعد از پیادهسازی VDI از UAG استفاده میشود. در این حالت وقتی کاربر بخواهد به سازمان متصل شود میتواند از نرمافزارهایی مانند Horizon Client استفاده کند و یا به صورت تحت وب به سازمان متصل شود. ولی در اینجا ارتباط مستقیم نیست و کاربر در این سمت با UAG ارتباط دارد و در سمت دیگر UAG سرویسهایی که کاربر درخواست داده را در حد تصویر، کیبورد و ماوس به کاربر ارائه میدهد.
فرض کنید یک ویندوز 10 در داخل سازمانی که در آن VDI نصب شده است وجود دارد، در این سازمان UAG هم راهاندازی شده است. در این حالت هر کاربر به یک آدرس اینترنتی که برای هر کاربر مشخص شده است وارد شده، Username و Password خود را وارد میکند و ویندوز 10 برایش باز میشود. ولی در داخل این ویندوز 10 کاربر نهایی نمیتواند چیزی را Copy، Past کند و فقط تصویر ویندوز 10 را در حد ماوس و کیبورد خواهد داشت.
امنیت دورکاری با روش VDI
در این روش میتوان کاری کرد که Desktop کاربر به طور کامل رکورد شود و در اختیار ادمین یا حراست سازمان قرار بگیرد. هزینه VDI نسبت به دو روش قبل بالاتر است ولی امنیتی که برای سازمان فراهم میکند خیلی چشمگیر است. چون هیچ دیتایی از سمت کاربر رد و بدل نمیشود و هیچ حملهای توسط هیچ ویروس باج افزاری صورت نمیگیرد و سازمان با خیال راحت میتواند تمام Activity کاربر را با Recording دسکتاپ کنترل و بررسی کند. برای راهاندازی این روش به یک سرور، یک Router، یک اینترنت مناسب، راهاندازی سرویس VDI و در کنار آن راهاندازی UAG نیاز میباشد.
همچنین به این نکته نیز باید توجه داشت که سازمان میتواند بر روی VDI، 2Step Authentication داشته باشد، ارتباطاتش را کاملا Encrypt کند و به طور کلی میتواند یک امنیت کاملا وسیع را پیادهسازی کند تا کاربرها بتوانند از این زیرساخت دورکاری خیلی راحت استفاده کنند. در این روش بسته به هدف سازمان میتوان Fire Wall را حذف یا اضافه کرد. اگر VDI در یک محیط ایزوله داخل سازمان راهاندازی شود که به هیچ جا دسترسی نداشته باشد و از داخل آن محیط ایزوله با استفاده از یک Router معمولی دسترسیهای محدودی به کاربران داده شود تا کاربران بتوانند سرویس مورد نظر خود را دریافت کنند. البته توجه داشته باشید که در این حالت تمام Activity کاربر Record میشود و اگر بستر Record به خوبی راهاندازی شود نیاز به Fire Wall از بین میرود، اما برای امنیت بیشتر قطعا به Fire Wall نیاز خواهد بود.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.