زیرساخت مناسب دورکاری

زیرساخت مناسب دورکاری

در عصر امروز به طور کلی 3 نوع زیرساخت مناسب برای دورکاری داریم:

  1. Remote Desktop
  2. VPN با Remote Desktop
  3. VDI

باید توجه داشته باشید که تعداد کاربرهای یک سازمان، بزرگی سازمان را مشخص نمی‌کنند. بلکه داده‌های سازمان هستند که نشانگر اندازه، بزرگی و ارزش یک سازمان می‌باشد. به عنوان مثال شاید سازمانی وجود داشته باشد که 3 یا 4 ترابایت داده داشته باشد که آن 3 یا 4 ترابایت به اندازه چندین میلیارد ارزش داشته باشد. پس به هرنحوی که شده این داده‌ها باید حفظ و نگهداری شوند. زیرا با ازدست رفتن آن‌ها شرکت ورشکست شده و عملا بی‌استفاده می‌شود.

از دست رفتن داده‌ها می‌تواند بر اثر ویروس یا باج افزار باشد، Encryption و یا دزدی اطلاعات اتفاق بیفتد. سازمان سریعا متوجه دزدی اطلاعات نمی‌شود و ممکن است دزدی اطلاعات سال‌ها اتفاق بیفتد و یک شرکت دومی راه‌اندازی شده که از داده‌های شرکت اول استفاده کند. سریعا خودش را بالا بکشد و شرکت مادر را نابود کند. پس لازم است برای حفظ امنیت داده‌ها و اطلاعات سازمان تصمیماتی اتخاذ شود تا به این زیرساخت‌ها لطمه‌ای وارد نشود.

تکنیک Remote Desktop

ساده‌ترین و دم‌دست‌ترین روش، تکنیک Remote Desktop است. در این روش به راحتی و با کمترین هزینه در داخل یک مودم عملیات Port Forwarding انجام می‌شود و کاربر نهایی از طریق آن به سرور در داخل سازمان متصل می‌شود. تجهیزات مورد نیاز برای پیاده‌سازی این روش، یک مودم و اینترنت نسبتا خوب با IP ثابت که روی آن Port Forward انجام شود، می‌باشد.

مشکل این روش این است که در عین سادگی خیلی راحت مورد حمله قرار می‌گیرد. چون کاربر نهایی بعد از آنکه Remote Desktop را استفاده می‌کند، مستقیما به سرور نهایی وصل شده و به راحتی می‌تواند اطلاعات را Copy، Past کند، سازمان را آلوده به ویروس‌های مختلف کند و یا کلا همه چیز را Delete و Format کرده و از بین ببرد.

تکنیک VPN با Remote Desktop یا تکنیک VPN و RDP

روش بعدی که نسبت به روش قبل بهتر و هزینه‌برتر است، تکنیک VPN و RDP است. برای پیاده‌سازی این روش به یک Router که VPN را Support کند و یک اینترنت خوب نیاز است. در این روش نیز کاربر نهایی بعد از آنکه به VPN متصل شد، مستقیما با سرور در ارتباط است. سپس به راحتی می‌تواند عمل Copy، Past و هر تخریب دیگری را بدون آنکه مانیتور شود، برای ادمین Visibility داشته باشد را انجام دهد. فرض کنید یک سازمان بنابه دلایلی می‌بایست زیرساخت مناسبی برای دورکاری را فراهم کند تا کاربرهایش دورکاری را انجام دهند. این سازمان از تکنیک دوم استفاده می‌کند و VPNای را راه‌اندازی می‌کند و روی VPN برای کاربرانش اینترنت ارائه می‌دهد.

در این حالت اینترنت هم از سمت کاربر و هم از سمت سازمان استفاده می‌شود. چون کاربر برای متصل شدن به سازمان باید تمام بسته‌هایش را از آن VPN عبور دهد. در نهایت هم سمت خود کاربر اینترنت مصرف می‌شود و هم در سمت خود سازمان. پس این روش هزینه‌بر است. از طرف دیگر اگر کاربر Untrusted باشد و از VPN استفاده کند، می‌تواند از IP Public سازمان سواستفاده‌های مختلفی را انجام دهد. پس اگر ادمین بخواهد روی بسته‌های اینترنتی آن کاربر مانیتور داشته باشد مجبور است از Fire Wall قدرتمند و گرانتری استفاده کند.

VPN چیست؟

امروزه کلمه VPN خیلی مورد استفاده قرار می‌گیرد. ولی در اینجا منظور از VPN، فیلترشکن نیست. بلکه منظور این است که کاربر نهایی در هر کجای دنیا بتواند از طریق پروتکل‌های VPN که انواع و اقسام مختلفی دارند به سازمان متصل شوند. همچنین بتواند همان فضای سازمانی که در داخل آن شرکت به صورت فیزیکی داشت، در خانه و یا در هر مکانی که حضور دارد حس کند و بعد از آنکه VPN را زد و به سازمان متصل شد از RDP یا سرویس‌های دیگر استفاده کند.

امنیت دورکاری با روش VPN با Remote Desktop

پس این روش در مقایسه با روش اول کمی گرانتر است و نیاز به Router و Fire Wall کنترلی دارد تا یک سری محدودیت‌ها اعمال شود و به کاربر اجازه دسترسی به سرورهای محدودی داده شود. با اینکه امنیت این روش نسبت به روش قبل بیشتر است ولی کاربر در نهایت به پورتی که برایش مجاز است ارتباط مستقیم دارد و می‌تواند عمل Copy، Past و… را انجام دهد.

تکنیک VDI

روش سوم تکنیک VDI است. این روش از سیستمی به نام Unifi Access Gateway (UAG) استفاده می‌شود. در این روش همانند روش‌های قبلی از Router و Fire Wall استفاده می‌شود و به جای استفاده از VPN، بعد از پیاده‌سازی VDI از UAG استفاده می‌شود. در این حالت وقتی کاربر بخواهد به سازمان متصل شود می‌تواند از نرم‌افزارهایی مانند Horizon Client استفاده کند و یا به صورت تحت وب به سازمان متصل شود. ولی در اینجا ارتباط مستقیم نیست و کاربر در این سمت با UAG ارتباط دارد و در سمت دیگر UAG سرویس‌هایی که کاربر درخواست داده را در حد تصویر، کیبورد و ماوس به کاربر ارائه می‌دهد.

فرض کنید یک ویندوز 10 در داخل سازمانی که در آن VDI نصب شده است وجود دارد، در این سازمان UAG هم راه‌اندازی شده است. در این حالت هر کاربر به یک آدرس اینترنتی که برای هر کاربر مشخص شده است وارد شده، Username و Password خود را وارد می‌کند و ویندوز 10 برایش باز می‌شود. ولی در داخل این ویندوز 10 کاربر نهایی نمی‌تواند چیزی را Copy، Past کند و فقط تصویر ویندوز 10 را در حد ماوس و کیبورد خواهد داشت.

امنیت دورکاری با روش VDI

در این روش می‌توان کاری کرد که Desktop کاربر به طور کامل رکورد شود و در اختیار ادمین یا حراست سازمان قرار بگیرد. هزینه VDI نسبت به دو روش قبل بالاتر است ولی امنیتی که برای سازمان فراهم می‌کند خیلی چشمگیر است. چون هیچ دیتایی از سمت کاربر رد و بدل نمی‌شود و هیچ حمله‌ای توسط هیچ ویروس باج افزاری صورت نمی‌گیرد و سازمان با خیال راحت می‌تواند تمام Activity کاربر را با Recording دسکتاپ کنترل و بررسی کند. برای راه‌اندازی این روش به یک سرور، یک Router، یک اینترنت مناسب، راه‌اندازی سرویس VDI و در کنار آن راه‌اندازی UAG نیاز می‌باشد.

هم‌چنین به این نکته نیز باید توجه داشت که سازمان می‌تواند بر روی VDI، 2Step Authentication داشته باشد، ارتباطاتش را کاملا Encrypt کند و به طور کلی می‌تواند یک امنیت کاملا وسیع را پیاده‌سازی کند تا کاربرها بتوانند از این زیرساخت دورکاری خیلی راحت استفاده کنند. در این روش بسته به هدف سازمان می‌توان Fire Wall را حذف یا اضافه کرد. اگر VDI در یک محیط ایزوله داخل سازمان راه‌اندازی شود که به هیچ جا دسترسی نداشته باشد و از داخل آن محیط ایزوله با استفاده از یک Router معمولی دسترسی‌های محدودی به کاربران داده شود تا کاربران بتوانند سرویس مورد نظر خود را دریافت کنند. البته توجه داشته باشید که در این حالت تمام Activity کاربر Record می‌شود و اگر بستر Record به خوبی راه‌اندازی شود نیاز به Fire Wall از بین می‌رود، اما برای امنیت بیشتر قطعا به Fire Wall نیاز خواهد بود.