У меня есть WWW-сервер, моя проблема в том, что контент является конфиденциальным и не должен быть доступен для людей без надлежащих учетных данных.
Как мне улучшить простоту использования, но при этом сохранить безопасность в соответствии с сценарием;
Доступ к серверу осуществляется через «узел перемычки», т.е. клиент подключается к перемычке с помощью VPN-соединения и использует RemoteDesktop для доступа к перемычке. Из перемычки он снова использует RemoteDesktop для доступа к серверу. Наконец, на сервере пользователь может получить доступ к контенту с помощью WWW-браузера.
На всем пути от VPN-клиента до WWW-браузера требуется аутентификация с использованием смарт-карты-токена.
Мне это кажется вполне безопасным. Контент только зеркалируется на RemoteDesktop между сервером и перемычкой, никаких кешированных файлов, о которых стоит беспокоиться. Соединение между перемычкой и клиентом защищено с помощью VPN (ssl), поэтому подслушивание отсутствует.
Но это довольно громоздко для клиентов с большим количеством шагов и подключений для открытия. :(
Итак, как я могу улучшить взаимодействие пользователей с моим сервером без ущерба для безопасности?
Спасибо.
Здесь множество переменных, поэтому я могу послать вам лишь некоторые общие методы, которые могут упростить задачу. Но действительно сложно обеспечить безопасность вашего конечного веб-сайта, не имея полностью защищенной цепочки от конечного пользователя к серверу. Доступ пользователя к веб-сайту, даже через VPN, защищенный смарт-картой, по-прежнему откроет некоторые лазейки, которые позволят внешней стороне просматривать контент на удаленном веб-сайте безопасности.
Например, представьте, что конечный пользователь сидит на ПК с установленным шпионским ПО и может делать снимки экрана? Вся установленная вами «безопасность» обходится этой простой программой.
Однако это не ответ на ваш вопрос. Единственное, что, на мой взгляд, могло бы упростить задачу для ваших конечных пользователей, - это использовать веб-доступ к вашему серверу удаленного рабочего стола. Сделать это можно с помощью готового сервиса, такого как LogMeIn или GoToMyPC. Также может быть некоторая настраиваемая установка Citrix, которая позволит клиентам получать доступ к удаленному компьютеру, не выполняя рутинную процедуру установки клиента VPN и использования клиента удаленного рабочего стола.
Мое понимание вашей конфигурации
TCP/IP Client---jumper host ------Server
Logically Client-VPN-jumper host -RDP-Server - www - website
Проблемы с вышеуказанным:
1) Узел перемычки, он же узел Bastion, эффективно работает как концентратор VPN.
2) Непонятно, используете ли вы только смарт-карту для аутентификации.
3) Это сложно и сложно для пользователей.
4) Дополнительная работа, которую выполняют пользователи, не может существенно повысить безопасность.
5) Вы ничего не упомянули о конфигурации сети в целом, межсетевых экранах, IDS, типах операционных систем и т. Д.
Рекомендации:
1) Замените хост-бастион на VPN-концентратор с урезанной ОС.
2) Используйте более одного аутентификатора
3) Заблокируйте выше, чтобы включить ограничение доступных хостов и сделать сервер доступным только для концентратора.
4) Многоуровневые VPN предпочтительнее VPN + RDP. IPSEC> SSL.
5) Защитите веб-сервер, чтобы ограничить доступ
6) Вы можете попытаться частично автоматизировать это, сделав VPN постоянным или запустив сценарий, который инициирует соединение, но не аутентифицирует
7) Вам необходимо принять во внимание безопасность смарт-карты и базовой инфраструктуры, которая отсутствовала в вашем описании. Безопасная PKI - это гораздо больше, чем просто использование аутентификатора смарт-карты!