luni, 16 martie 2020

Soluții tehnice pentru lucrul de acasă

Salutare, e ceva vreme de când n-am mai postat. De data asta, cu ocazia creșterii nevoii companiilor de a oferi posibilitatea lucrului de acasă, intenționez să scriu despre unele scenarii posibile pentru companii, pentru a putea oferi angajaților posibilitatea de a lucra de la distanță. În această postare voi descrie mai multe scenarii pentru a face posibil acest lucru, în funcție de natura aplicațiilor folosite de companie și de modul în care a fost concepută infrastructura IT. Postarea se adresează în mod special administratorilor de sisteme informatice și/sau deținătorilor de companii ce au în vedere implementarea modului de lucru de la distanță. Nu intenționez să abordez amănunțit, în această postare, detalii despre autentificare multi-factor. Evident, se presupune că accesul la aplicații web se face întotdeauna prin intermediul unui canal securizat.

Scenariul 1 - Aplicațiile companiei sunt de tip client-server, cu protocol propriu


Acesta este tipul tradițional de infrastructură IT. Resursele de stocare, serviciile de bază și aplicațiile sunt livrate prin intermediul serverelor pe care compania le-a achiziționat și le exploatează din rețeaua locală a companiei. Pentru a face posibil lucrul de la distanță, este necesar ca aplicațiile să poată fi accesate din exteriorul rețelei companiei. Pentru că vorbim de aplicații client/server, trebuie ca terminalul unde rulează software-ul (client) să poată comunica cu serverele.
Citește mai jos care sunt posibilitățile tehnice de implementare a unei infrastructuri IT flexibile, care permite lucrul de la distanță, cât și avantajele/dezavantajele fiecăreia dintre opțiuni.

Soluția 1.a - Conexiune VPN + aplicații client instalate pe laptop

Aceasta este cea mai veche soluție a acestei probleme. Software-ul client se instalează pe un laptop, se deschide o conexiune VPN (Virtual Private Network) către rețeaua companiei, apoi aplicația se folosește ca și când utilizatorul ar fi conectat la rețeaua locală. Există o gamă largă de servere și appliance-uri care oferă acces securizat la rețeaua companiei, precum: clientul VPN IKEv2 integrat în Microsoft Windows, Pulse Secure, Cisco, Checkpoint Remote Secure Access. Pentru că accesul la resursele rețelei companiei trebuie să se facă de pe dispozitive de încredere, administratorii de rețea vor permite accesul doar dispozitivelor care pot demonstra că sunt "de încredere", lucru atestat prin aderarea la domeniul companiei, prin utilizarea unui sistem antivirus în care compania are încredere, și/sau prin înrolarea dispozitivelor personale în flote BYOD (Bring Your Own Device), precum: Microsoft Intune, MAAS 360 etc, ceea ce înseamnă că administratorii infrastructurii companiei pot impune anumite cerințe minimale de securitate pe aceste dispozitive.



Soluția 1.b - Conexiune VPN + aplicații instalate în infrastructură desktop virtualizată

Cunoscută și cu numele "Virtual Desktop Infrastructure" (VDI), acest tip de infrastructură presupune că rolul terminalelor de acces este elementar, acestea neavând nevoie de altceva decât conexiune la o porțiune foarte limitată în rețeaua companiei (prin intermediul unui VPN), respectiv sisteme de calcul virtualizate, de obicei efemere (create dinamic, care sunt șterse parțial sau complet la scurt timp după terminarea sesiunii de lucru). Componenta client a aplicației se instalează în sistemul distant, aflat în perimetrul de rețea al companiei. Acest tip de instalare oferă un grad de mărit de siguranță, deoarece datele nu părăsesc rețeaua companiei, simplifică configurarea paravanelor de rețea (firewall), însă necesită mai multe resurse de calcul pentru găzduirea desktop-urilor virtuale, dar și un grad mai ridicat de calificare a administratorilor infrastructurii. Un alt avantaj este dat de posibilitatea de a oferi utilizatorilor acces doar la aplicațiile cu care au de lucru, fără a le permite instalarea de software adițional, ceea ce reduce riscurile de securitate.
Implementarea unei soluții de acest tip se face fie cu servicii de acces de la distanță, precum Microsoft Remote Desktop Services , fie prin intermediul unor soluții terțe, precum Citrix Virtual Apps and Desktops sau VMWare Horizon. Odată conectat la desktop-ul distant (sau aplicația distantă), utilizatorul are acces la resursele aplicației și poate efectua sarcinile obișnuite.


Scenariul 2 - Aplicațiile companiei sunt găzduite pe servere proprii, aplicațiile sunt de tip client/server web


Site-urile web sunt, în general, folosite pentru distribuirea de conținut. Odată cu creșterea posibilităților date de browserele web și de protocoale, a devenit posibilă scrierea de aplicații care se accesează prin intermediul browserului web. Numărul aplicațiilor care se pot folosi prin navigator web câștigă o cotă din ce în ce mai mare odată cu trecerea timpului. Cunoscute și cu numele "Progressive Web Applications", acestea nu necesită pachet de instalare, ci doar autentificarea la portalul de acces în aplicație. Adesea, aplicațiile web sunt construite optimizat pentru dispozitive mobile și/sau au comportament adaptabil la tipul de terminal de acces, fie că e de tip desktop sau de tip mobil. Una dintre cele mai dificile părți ale configurării accesului către acest tip de aplicație este securizarea traficului și permisionarea accesului exclusiv utilizatorilor legitimi.

Soluția 2.a - Aplicație web + Conexiune VPN

Similar soluției 1.a, este posibil ca accesul la VPN să fie posibil doar după ce terminalul client "se califică" pentru asta, adică poate demonstra un minimum de cerințe de securitate. Avantajul acestei soluții constă în faptul că nu este necesară instalarea de software adițional pe terminalul (laptopul) utilizatorului și nici nu necesită resursele de care are nevoie o soluție de tip VDI (1.b).

Soluția 2.b - Aplicație web + Portal web securizat

Acest tip de scenariu este cel mai frecvent întâlnit în cazurile în care utilizatorii unei aplicații sunt răspândiți geografic, companiile care folosesc acest tip de aplicații nu vor avea nici o problemă în a permite lucrul de la distanță. Veriga slabă constă în faptul că nu există nici un fel de garanție asupra status-ului securității terminalului (dacă se pot extrage / altera neautorizat date de pe acesta sau dacă e sau nu virusat, etc). Asemenea aplicații necesită autentificare cu factori multipli (ex: smart card + PIN, parolă + cod SMS, etc). Pentru a putea implementa o soluție de securizare multi-factor, se pot utiliza componente software precum Shibboleth .

În cazul în care aveți comentarii și/sau sugestii, vă rog să folosiți formularul de mai jos. Dacă postarea vi s-a părut utilă, folosiți butoanele de mai jos pentru a distribui și prietenilor.

Ți-a plăcut această postare? Spune și altora!

Niciun comentariu:

Trimiteți un comentariu

Super ofertă la eMag!

Related Posts Plugin for WordPress, Blogger...