Вопрос или проблема
Я ищу практический вариант для внедрения MFA для администраторов, подключающихся к нашим серверам. Ни один из серверов не присоединен к Entra, и присоединение их всех для этого является нежелательным вариантом. Администраторские учетные записи могут быть присоединены к Entra. Вариант, который я рассматриваю в настоящее время, заключается в использовании единственного прокси-сервера, присоединенного к Entra, и внедрении MFA там, однако мне интересно, есть ли лучшие решения, с которыми я еще не сталкивался. Любой вклад будет весьма полезен.
Ответ или решение
Для обеспечения надежной защиты доступа администраторам, подключающимся к серверам через RDP, использование многофакторной аутентификации (MFA) представляет собой важную меру кибербезопасности. Учитывая, что в данном сценарии серверы не присоединены к Entra (ранее известен как Azure Active Directory), необходимо рассмотреть альтернативные решения, которые могут повысить уровень безопасности без необходимости полного присоединения серверов.
## Теория
Многофакторная аутентификация добавляет уровень безопасности за счет подтверждения личности пользователя с помощью нескольких механизмов аутентификации: что-то, что он знает (пароль), что-то, что он имеет (например, мобильное устройство или аппаратный токен), и, возможно, что-то, что он является (биометрия). В случаях, когда серверы не присоединены к Entra, организационные ограничения не позволяют использовать родные возможности Entra для MFA, и требуются альтернативные пути реализации этой концепции.
## Пример
Рассмотрим сценарий, в котором администраторы подключаются к серверам через RDP, но эти серверы не связаны с централизованной системой управления идентификациями, такой как Entra. В подобной ситуации сетевая архитектура может включать прокси-сервер, который может быть точкой аутентификации администраторов.
Как вы упомянули, один из вариантов — использовать единственный прокси-сервер, присоединенный к Entra, и заставить администраторов аутентифицироваться через него с использованием MFA. Это эффективно создаёт барьер между сетями, и конечный доступ к серверам возможен только после успешного прохождения многофакторной аутентификации. Однако это решение может не удовлетворять всем требованиям и возможностям, особенно если прокси-сервер становится единственной точкой отказа или если администраторы требуют более прямого доступа к управляемым серверам.
## Применение
### 1. Прокси-сервер с поддержкой MFA
Ваш предложенный подход с использованием единого прокси-сервера, присоединенного к Entra, имеет свои преимущества. Это позволяет сосредоточить управление точками доступа в одном месте и использовать существующую инфраструктуру Entra для обеспечения многофакторной аутентификации. Тем не менее, для достижения высокой доступности можно рассмотреть внедрение кластерной или резервированной архитектуры для этого прокси-сервера, чтобы избежать единой точки отказа.
### 2. Программные решения для MFA
Если вы не хотите зависеть от физического прокси-сервера, существуют программные решения, такие как Duo Security от Cisco или окта, которые могут предоставить многофакторную аутентификацию поверх существующей инфраструктуры без необходимости привязки серверов к Entra. Эти решения часто предлагают интеграцию с RDP и другими протоколами доступа.
#### Преимущества:
– Легкость в интеграции даже с существующими разрозненными системами.
– Возможность использования различных методов аутентификации (SMS, мобильные приложения, аппаратные токены и другие).
– Гибкость и масштабируемость по мере роста вашей организации.
### 3. Ipsec или VPN на базе MFA
Рассмотрите возможность использования VPN или IPsec, которые требуют MFA для подключения к внутренней сети. Это может быть даже более предпочтительным для сценариев, где многофакторная аутентификация может быть интегрирована в сам процесс установки VPN-соединения. Это обеспечит дополнительный уровень шифрования и контроля доступа.
### 4. Biometrическая аутентификация и аппаратные токены
Биоидентификация и использование аппаратных токенов, таких как YubiKey, могут быть ещё одним уровнем защиты для физической аутентификации пользователей. Хотя это может потребовать внедрения специализированного программного обеспечения на стороне клиента или сервера, это добавляет существенный барьер для злоумышленников.
## Заключение
Ваша задача — подобрать баланс между безопасностью и удобством использования, учитывая текущие технические и финансовые ограничения вашей компании. Внедрение многофакторной аутентификации для администраторов, подключающихся по RDP к не присоединенным к Entra серверам, может включать в себя сочетание программных решений, поддерживающих MFA, использование физической и биометрической аутентификации, а также организационные меры по управлению доступом. Оптимальное решение зависит от имеющихся ресурсов и их способности адаптироваться к растущим потребностям в безопасности.