В сферах, где требуется высокий уровень безопасности и контроля над данными, например, в финансовом секторе и промышленности, организации часто выбирают пойти по пути лучшей защиты, но более высоких затрат, создавая закрытый контур. Это накладывает серьезные ограничения, так как требует больших собственных мощностей и не позволяет использовать значительную часть сервисов для работы, даже если они разработаны для бизнеса, но не могут быть развернуты во внутренней сети.
Усложняется обеспечение работы в рамках закрытой инфраструктуры и тем, что многие бизнес-приложения (электронный документооборот, финансы, управление персоналом и т.п.) переходят в веб-формат, а одним из основных инструментов доступа к рабочим ресурсам становится браузер, что само по себе предполагает доступ в интернет. Это создает проблему обеспечения управляемого доступа к таким приложениям в сегментах корпоративной сети, в которых доступ в интернет ограничен или отсутствует вовсе.
В организациях с открытым контуром всё достаточно понятно. Чтобы доступ к внешним системам был безопасным, ИТ-администраторам нужно подготовить браузеры, которыми пользуются сотрудники: активировать политики, определяющие, кто и к каким частям систем имеет доступ, какие имеет права и т.д. Это можно сделать вручную или с помощью универсальных средств настройки. При этом у некоторых корпоративных браузеров есть отдельный инструмент для таких задач — интерфейс (преимущественно расположенный в облаке), через который все нужные операции можно делать централизованно.
У расширенной версии Яндекс Браузера для организаций такой интерфейс называется Консолью управления. По сути, это веб-интерфейс, с помощью которого админы могут быстро и удобно решить множество задач, которые в противном случае пришлось бы делать вручную или с помощью различных дополнительных инструментов администрирования. Через Консоль они могут централизованно управлять парком браузеров в организации на любых платформах: создавать сборки Браузера с индивидуальными настройками под потребности конкретного отдела или сотрудника, настраивать групповые политики, просматривать список установленных расширений, управлять лицензиями и т.д.
За последний год Консоль серьёзно эволюционировала. А одним из самых важных функциональных обновлений, случившихся в последний год, стала возможность работы в формате on premise. То есть Консоль теперь может развертываться не только в облаке, но и на серверах компании, которая использует Расширенную версию Яндекс Браузера для организаций, решая вопрос обеспечения безопасности в закрытом контуре.
Для компаний использование on premise-формата обеспечивает, прежде всего, повышенную устойчивость ИТ-инфраструктуры к внешним факторам: например, снимает зависимость от работоспособности серверной инфраструктуры провайдера облачного решения. Также развертывание во внутренней сети позволяет обеспечить соблюдение строгих политик в отношении защиты конфиденциальной информации: при использовании ПО в формате on premise корпоративные данные не покидают пределов периметра организации. В этом материале мы расскажем, как обновление Консоли делает Яндекс Браузер для организаций надежным решением для развертывания во внутренней сети.
Упрощённая интеграция в закрытом контуре
Хотя предыдущая версия Консоли серьёзно облегчала работу сисадминов в закрытом контуре, некоторые процедуры оставались трудоёмкими. Например, добавление нового пользователя Браузера в существующую оргструктуру или добавление нового устройства существующего сотрудника. Ранее это необходимо было делать вручную, а теперь сотруднику, чей браузер нужно зарегистрировать в Консоли, достаточно просто выполнить вход в операционную систему своего рабочего компьютера.
После этого Браузер сам передаст в Консоль информацию о пользователе, а Консоль, пользуясь данными, полученными по LDAPS из существующей оргструктуры, автоматически привяжет новое устройство к существующему сотруднику или нового сотрудника — к устройству. Вместе с привязкой пользователь получит Браузер в той конфигурации, которая должна быть у сотрудника в соответствии с корпоративными политиками безопасности — то есть с уже настроенными политиками работы с внутренними ресурсами и доступа к контенту.
Новая функциональность существенно облегчает онбординг новых сотрудников, а также обработку случаев, когда существующие сотрудники подключаются к корпоративным системам с новых устройств.
Ролевая модель
Также в недавнем обновлении мы добавили в Консоль возможность назначать пользователям, имеющим к ней доступ (то есть сисадминам, сотрудникам ИБ-службы и т.д.), роли. Это сделано для безопасности.
Консоль управления даёт всем, кто имеет к ней доступ, массу возможностей настраивать и изменять то, как работают Браузеры в организации. Вместе с удобством это обстоятельство создаёт определённые риски: что, если рабочая станция одного из пользователей Консоли скомпрометирована вредоносным ПО? Что, если сотрудник уволился, а доступ к Консоли забыли отозвать?
В основе ролевой модели Консоли управления — набор разрешений на действия в ней. Любая функция Консоли (например, возможность просматривать или модифицировать информацию, редактировать политики, управлять лицензиями, создавать новых пользователей, управлять корпоративной оргструктурой и т.д.) требует отдельного разрешения, которое выдаёт супер-администратор - пользователь с абсолютными правами в Консоли. Он же может наделить других администраторов правом выдавать разрешения — так руководители команд смогут эффективно делегировать задачи подчиненным.
Доступ по SSO
Доступ в Консоль можно получить с помощью технологии Single-sign-on (SSO), которая позволяет залогиниться по корпоративным учётным данным один раз и после этого не вводить логин и пароль при каждом доступе. Этот механизм широко применяется в современных корпоративных сетях, однако ролевая модель подразумевает, что не все сотрудники в организации должны иметь доступ к Консоли, и не у всех из них должен быть одинаковый уровень доступа.
Поэтому в Консоли управления мы предусмотрели особый механизм авторизации пользователей по SSO. В интерфейсе Консоли можно заранее задать список пользователей, которым можно авторизоваться в ней, и как только пользователь зайдёт под нужными учётными данными, он сразу получит выделенный ему набор прав. Если пользователя нет в списке, ему будет отказано в доступе. Это существенно облегчает онбординг новых сотрудников, а кроме того, исключает вероятность, что кто-то из нерелевантных сотрудников организации получит доступ к Консоли и права в ней.
Упорядоченный доступ и упрощённое управление
Упрощенная интеграция сотрудников и Ролевая модель для пользователей Консоли обеспечивают порядок и защищают от ИБ-рисков, а ещё помогают внедрить модель безопасности, основанной на «нулевом» доверии (Zero Trust Access).
Добавив эти функции в Консоль управления, мы сделали Браузер и Консоль ещё более удобными для использования в корпоративных сетях крупных организаций с большим количеством сотрудников и сегментами, изолированными от интернета.
