Повысить безопасность публикации корпоративных приложений

Безопасная публикация приложений позволяет сотрудникам получать удалённый доступ к корпоративным данным и бизнес-сервисам (корпоративной почте, 1С, файловому хранению в облаке и др.) с минимальными рисками технического взлома.
Актуально для компаний, которые набирают специалистов из разных регионов, работают с удалёнными и временными проектными командами, переводят сотрудников на удалённую работу. Также для безопасного доступа из любого места для управленческого состава к значимым данным и приложениям — 1С, конкурсным документам, хранилищам с конфиденциальной информацией и др.
Типовые ситуации и решаемые задачи
- 1
Получать больше данных о том, кто и как пользуется корпоративными сервисами
Мошенник может использовать данные не сразу. Например, со временем сделать рассылку от лица вашей компании по вашей клиентской базе — и вы о ней даже не узнаете. Он может входить под кем-то из пользователей и собирать данные длительное время, чтобы навредить в дальнейшем.
Безопасная публикация приложений позволяет собирать больше данных пользователя и отслеживать «странное» поведение — рост количества запросов пароля, запросы из странных местоположении или не с тех устройств и др.
В таком случае можно настроить триггер по событию. Например, установить двухфакторную аутентификацию для «подозрительных» пользователей. При этом нормальные пользователи будут встречать минимум препятствий в работе — это баланс между комфортом и безопасностью.
- 2
Снизить риски утечки данных из корпоративной среды на любом этапе
Важно сделать безопасным не только процесс работы с данными, но и предыдущие шаги — аутентификацию (ответ на вопрос, кто ты) и авторизацию (ответ на вопрос, можно ли и с какого устройства можно получить доступ к этим данным). Чаще всего доступ к корпоративным данным злоумышленник получает уже на данном этапе.
В случае безопасной публикации приложений оба этих процесса вынесены за периметр корпоративной зоны, поэтому даже в случае взлома доступ к данным не будет получен. В частности, это достигается посредством создания «условного доступа» — сценариев, при которых доступ к отдельным данным дается авторизованную пользователю, только если он выполнит определенное действие. Например, для доступа к зарплатам в 1С пройдет многофакторную аутентификацию, подтвердит свою подлинность посредством СМС на номер зарегистрированного устройства.
- 3
Фильтровать трафик и снижать нагрузку на приложения компании
На панели управления вы сможете увидеть и остановить попытки подключения сетей ботов, попытки взлома и спама — и таким образом сделаете стабильнее работу сервисов для пользователей.
Как это работает

Решение строится на базе интегрированных друг с другом сервисов Azure Proxy, Azure MFA и Azure AD.
С помощью Azure Proxy изнутри корпоративной сети открываем исходящее соединение. Все, кто хочет подключиться, получают доступ по этому исходящему тоннелю, при этом не получая прямого доступа к внутренней корпоративной среде. Azure MFA обеспечивает процесс мультифакторной аутентификации, а Azure AD — регулирует каталог учетных записей, формирует отчеты и отвечает на вопрос — кому, при каких обстоятельствах и с каких устройств можно получить доступ к тем или иным сервисам.
Работа в такой технологической связке безопасна — пароли и ваши данные не выносятся в облако, а остаются у вас. В облако транслируется только интерфейс. Возможное влияние на скорость работы сервисов минимальное — всего 250-300 мс.
При этом нет уязвимостей, типичных для других решений — работы через фаервол, демилитаризованные зоны или VPN. В них злоумышленник получает разрешение входящих соединений для взаимодействия с бизнес-приложениями внутри сети напрямую или через VPN. В этих случаях атакам подвержены опубликованные элементы внутри корпоративной сети со всеми вытекающими отсюда рисками взлома и проникновения.
В нашем случае — контур защиты остается неразрывным и доступ к данным не получается ни на каком этапе, даже верификация и аутентификация вынесены за корпоративную среду.
Возьмем на себя
- подберем механизм интеграции облачных сервисов с корпоративной инфраструктурой;
- поможем исходя из нашего опыта определиться с логикой защиты системы — какие механизмы защиты должны срабатывать при каких событиях, где будут храниться пароли, будет ли условный доступ и др;
- запустим, протестируем систему;
- дадим инструкции для дальнейшей эксплуатации;
- по желанию — окажем полное сопровождение на начальном этапе эксплуатации.