Внедрение защищённого удалённого доступа на базе Cisco Anyconnect, ISE и RSA для финансового холдинга

  • 08.02.2021
  • 31

Задача

Обеспечить защищённый доступ для удалённых пользователей, отвечающих следующим требованиям:

  • Унифицированный доступ в сеть.
  • Двухфакторная аутентификация. Первый фактор – логин/пароль Active Directory, второй – одноразовый пароль, полученный по SMS.
  • Оценка состояния подключаемых устройств.

Выполнение

В качестве технологии для удалённого доступа был выбран Cisco Anyconnect на базе ASAv. Anyconnect работает на большинстве ОС на ПК, мобильных устройствах и планшетах, что полностью отвечает требованию по унифицированному доступу. ASAv – виртуальный МСЭ с функциями VPN-концентратора. Выбор в пользу виртуальной платформы обусловлен желанием минимизации количества физических устройств в ЦОДе компании.

Для обеспечения двухфакторной аутентификации выбрано решение RSA Authentication Manager. Это “on-premise” решение, выполненное в виде виртуальной машины. Облачные варианты не рассматривались в силу требований ИБ холдинга. RSA AM позволяет обеспечивать второй фактор через токены (аппаратные и программные), а также через SMS. Последний вариант как раз и был реализован в проекте, так как минимизировал требования к действиям по настройке со стороны удалённых пользователей.

Для обеспечения оценки состояния подключаемых устройств было выбрано решение Cisco ISE. Стоит отметить, что функционал оценки состояния встроен в том числе в саму ASAv. Однако Cisco ISE предлагает, во-первых, более широкий набор проверок, а во-вторых, обеспечивает не только оценку, но и исправление состояния подключаемого устройства. Например, умеет принудительно включать МСЭ на ПК или запускать обновление ОС.

Специалисты CBS выполнили работы по настройке Anyconnect на ASAv. Обеспечили интеграцию ASAv и RSA AM. Настроили функциональность оценки состояния на базе Cisco ISE и выполнили интеграцию с ASAv. В качестве проверок на первом этапе ISE анализировал установленные обновления для ОС Windows. В дальнейшем планировалось добавление требований к подключаемым устройствам. Одной из задач была минимизация действия со стороны удалённых пользователей при настройке и дальнейшей работе. В итоге удалось добиться того, чтобы большая часть действий и настроек выполнялась в автоматическом режиме, что существенно упростило работу пользователей с системой. По результатам проекта была подготовлена детальная документация.

Результат

Заказчик получил защищённый удалённый доступ, отвечающий всем требования ИБ холдинга. Система предоставляет глубокий уровень логирования на всех этапах работы. Решение RSA AM может быть использовано и для других сервисов холдинга, например, VDI доступа. Аналогичная ситуация с решением Cisco ISE.