WiseAdvice EmplDocs
Цифровая трансформация кадровых процессов вашей компании.
18 марта 2025
EmplDocs запускает услугу Identity-Aware Proxy
Аутентификация и удаленный доступ к приложениям корпоративной сети без установки дополнительного ПО
Аутентификация и удаленный доступ к приложениям корпоративной сети без установки дополнительного ПО
EmplDocs запускает услугу — Identity-Aware Proxy для защищённого удалённого доступа. Это не просто еще один инструмент для удаленной работы, а современное решение, которое устраняет недостатки традиционных подходов к организации защиты корпоративных приложений, таких как VPN. Если VPN был стандартом вчерашнего дня, то сегодня на первый план выходят современные решения.
В статье разберем, как работает Identity-Aware Proxy, ключевые функции и преимущества в безопасности и чем оно отличается от традиционных решений.
В статье разберем, как работает Identity-Aware Proxy, ключевые функции и преимущества в безопасности и чем оно отличается от традиционных решений.
Олег Филлипов
CEO EmplDocs
Периметр информационной безопасности
Любая компания, независимо от ее размера, имеет закрытые IT-ресурсы, содержащие конфиденциальные данные. Эти ресурсы должны быть доступны только сотрудникам внутри корпоративной сети и недоступны извне — из публичного интернета. Такое разделение на private network (внутренняя сеть) и public network (внешняя сеть) существует уже десятилетия и это основа ИБ, поэтому останавливаться здесь не будем.
Современные реалии диктуют новые требования: удаленные офисы, мобильные сотрудники и облачные сервисы заставляют искать более гибких решений для доступа к корпоративным ресурсам. Именно здесь работают технологии, такие как VPN (Virtual Private Network) и еще более современное и продвинутое решение - Identity-Aware Proxy.
Современные реалии диктуют новые требования: удаленные офисы, мобильные сотрудники и облачные сервисы заставляют искать более гибких решений для доступа к корпоративным ресурсам. Именно здесь работают технологии, такие как VPN (Virtual Private Network) и еще более современное и продвинутое решение - Identity-Aware Proxy.
Identity-Aware Proxy или IAP (прокси-сервер с поддержкой идентификации) — это инструмент безопасности, который контролирует доступ к приложениям и ресурсам на основе идентификационных данных пользователя.
Выступая в качестве промежуточного звена, IAP идентифицирует аутентифицирует пользователя и предоставляет ему через себя доступ к корпоративным приложениям внутри защищенного контура.
VPN: почему компании ищут альтернативы классическому решению
VPN давно стал стандартом для удаленного доступа, но, как и любая технология, он имеет свои ограничения, которые становятся все более очевидными в современных условиях.
Более 90% современных приложений имеют веб-интерфейс, а значит, сотрудникам чаще всего нужен доступ только к конкретным ресурсам, а не ко всей корпоративной сети. VPN, однако, не учитывает эту специфику и может быть громоздкими в использовании.
Более 90% современных приложений имеют веб-интерфейс, а значит, сотрудникам чаще всего нужен доступ только к конкретным ресурсам, а не ко всей корпоративной сети. VPN, однако, не учитывает эту специфику и может быть громоздкими в использовании.
Основные проблемы VPN:
1
Установка дополнительного ПО
Чтобы подключиться к корпоративной сети через VPN, сотруднику нужно установить специальный клиент на свое устройство. Это может быть проблемой, особенно если человек работает с личного ноутбука или телефона. Не всем хочется загружать свое устройство лишними программами, а IT-отдел тратит время на поддержку и настройку этих клиентов.
Чтобы подключиться к корпоративной сети через VPN, сотруднику нужно установить специальный клиент на свое устройство. Это может быть проблемой, особенно если человек работает с личного ноутбука или телефона. Не всем хочется загружать свое устройство лишними программами, а IT-отдел тратит время на поддержку и настройку этих клиентов.
2
Сложности совмещения работы и личных задач
Когда VPN активен, все устройство сотрудника оказывается внутри корпоративной сети (если не произвести специальных настроек). Это означает, что если вы хотите проверить почту или посмотреть видео на каком-то стороннем ресурсе, вам придётся либо отключать VPN, либо мириться с замедлением скорости (или блокировкой). Это неудобно и отвлекает от работы.
Когда VPN активен, все устройство сотрудника оказывается внутри корпоративной сети (если не произвести специальных настроек). Это означает, что если вы хотите проверить почту или посмотреть видео на каком-то стороннем ресурсе, вам придётся либо отключать VPN, либо мириться с замедлением скорости (или блокировкой). Это неудобно и отвлекает от работы.
3
Необходимость постоянного подключения
Сотрудник должен помнить о том, что для доступа к корпоративным ресурсам нужно включить VPN. Если он забудет это сделать, доступ будет закрыт. Это создает лишние шаги и увеличивает вероятность ошибок.
Сотрудник должен помнить о том, что для доступа к корпоративным ресурсам нужно включить VPN. Если он забудет это сделать, доступ будет закрыт. Это создает лишние шаги и увеличивает вероятность ошибок.
4
Блокировки и замедления
VPN-протоколы часто блокируются, особенно в странах с жестким интернет-регулированием. Это создаёт сложности для компаний, чьи сотрудники работают из таких регионов. Даже если VPN не заблокирован, он может замедлять скорость соединения, что негативно сказывается на продуктивности работы.
VPN-протоколы часто блокируются, особенно в странах с жестким интернет-регулированием. Это создаёт сложности для компаний, чьи сотрудники работают из таких регионов. Даже если VPN не заблокирован, он может замедлять скорость соединения, что негативно сказывается на продуктивности работы.
5
Избыточность доступа
VPN предоставляет доступ ко всей корпоративной сети, хотя сотруднику часто нужен только один ресурс, например, HR-портал. Это создает дополнительные риски: если устройство сотрудника будет скомпрометировано, злоумышленник получит доступ ко всей сети, а не к одному приложению.
VPN предоставляет доступ ко всей корпоративной сети, хотя сотруднику часто нужен только один ресурс, например, HR-портал. Это создает дополнительные риски: если устройство сотрудника будет скомпрометировано, злоумышленник получит доступ ко всей сети, а не к одному приложению.
VPN — это проверенная технология, которая отлично справлялась со своими задачами в прошлом. Однако современные реалии требуют большей гибкости: сотрудники хотят работать быстро и без лишних шагов, а компании — минимизировать риски и централизовать управление доступом.
Identity-Aware Proxy: современная альтернатива VPN
На смену VPN приходят более современные решения, такие как Identity-Aware Proxy (IAP).
Identity-Aware Proxy (IAP) — это прокси-сервер, то есть посредник между пользователем и веб-ресурсами, который управляет интернет-трафиком, повышает безопасность и обеспечивает анонимность в сети.
Прокси-сервер с поддержкой идентификации считается ключевым элементом модели Zero Trust (нулевого доверия). Zero Trust — это современный подход к безопасности, который предполагает, что ни одному пользователю или устройству нельзя доверять по умолчанию, даже если они находятся внутри корпоративной сети. Каждый запрос на доступ к ресурсам должен быть проверен и авторизован, независимо от того, откуда он поступает.
Ключевые особенности IAP
1
Аутентификация пользователей: IAP легко интегрируется с различными механизмами аутентификации, включая OAuth и OpenID Connect (OIDC) и двухфакторную аутентификацию (2FA). Это дает компаниям возможность проверять пользователей через уже работающих у них поставщиков идентификационных данных.
2
Детальный контроль доступа: с помощью IAP администраторы могут задавать точные политики, регулирующие, кто имеет право на доступ к конкретным ресурсам. Это особенно важно в многопользовательских средах, где критично четкое разделение данных.
3
Управление сеансами: с IAP можно эффективно управлять сеансами пользователей, обеспечивая безопасное создание и проверку токенов сеанса. Это сводит к минимуму риск перехвата сеанса и несанкционированного доступа.
4
Соответствие требованиям регуляторов. Если ваша компания работает с персональными данными, IAP помогает соответствовать требованиям ФЗ-152 и других стандартов.
5
Удобство и быстрота. Не требуется установка дополнительного ПО, доступ осуществляется через браузер. Сотрудник может работать как внутри корпоративной сети, так и вне ее, без дополнительных настроек.
Почему IAP востребован для бизнеса
Технология прокси позволяет сотрудникам получать доступ к корпоративным ресурсам через веб-браузер, без необходимости установки дополнительного ПО. Например, представьте, что ваш сотрудник забыл подключиться к VPN с нового устройства и не может получить доступ к важному документу. С IAP это исключено — доступ к ресурсам возможен в любой момент через браузер. А если ваша компания использует технологию единого доступа — SSO (подробнее здесь), то сотруднику вовсе не нужно вводить логины и пароли в каждый сервис, достаточно одного входа через SSO.
Именно поэтому компании всё чаще выбирают не VPN, а Identity-Aware Proxy (IAP), он устраняет ключевые недостатки VPN, сохраняя при этом высокий уровень безопасности.
Именно поэтому компании всё чаще выбирают не VPN, а Identity-Aware Proxy (IAP), он устраняет ключевые недостатки VPN, сохраняя при этом высокий уровень безопасности.
Преимущества использования прокси-сервера IAP:
Повышенная безопасность. IAP централизует аутентификацию и авторизацию, сокращая число уязвимых точек, управление доступами становится проще.
Улучшенный пользовательский опыт. Сотрудники могут быстрее и удобнее получать доступ к ресурсам под одним логином и паролем за счет совмещения с технологией единого входа (SSO).
Соответствие требованиям и аудит. IAP ведет детальные журналы доступа и действий пользователей, что помогает соблюдать нормативные требования и проводить аудиты.
Как работает технология Identity-Aware Proxy (IAP)
Чтобы лучше понять, почему Identity-Aware Proxy (IAP) — это современное и безопасное решение, важно разобраться, как именно он обрабатывает трафик. IAP выступает как интеллектуальный посредник между пользователем и корпоративным ресурсом, обеспечивая не только доступ, но и контроль над каждым вашим запросом.
Итак, как это работает наглядно в схеме:
Итак, как это работает наглядно в схеме:
1
Перехват запроса
Когда сотрудник открывает браузер и переходит по ссылке на корпоративный ресурс (например, в EmplDocs), IAP перехватывает этот запрос.
Когда сотрудник открывает браузер и переходит по ссылке на корпоративный ресурс (например, в EmplDocs), IAP перехватывает этот запрос.
2
Проверка личности
Поскольку ресурс закрыт для публичного доступа, IAP перенаправляет сотрудника на страницу авторизации, где он должен подтвердить свою личность с помощью логина, пароля и, при необходимости, двухфакторной аутентификации (2FA).
Если подключена услуга SSO, то сотрудник авторизуется через единый вход во все корпоративные приложения.
Поскольку ресурс закрыт для публичного доступа, IAP перенаправляет сотрудника на страницу авторизации, где он должен подтвердить свою личность с помощью логина, пароля и, при необходимости, двухфакторной аутентификации (2FA).
Если подключена услуга SSO, то сотрудник авторизуется через единый вход во все корпоративные приложения.
3
Проверка политик безопасности
После успешной авторизации IAP проверяет, соответствует ли запрос политикам безопасности компании. Например, имеет ли сотрудник право доступа к этому ресурсу и с какого устройства он пытается подключиться.
После успешной авторизации IAP проверяет, соответствует ли запрос политикам безопасности компании. Например, имеет ли сотрудник право доступа к этому ресурсу и с какого устройства он пытается подключиться.
4
Предоставление доступа
Если всё в порядке, IAP пропускает запрос и предоставляет сотруднику доступ только к тому ресурсу, который был настроен для него. Все остальные ресурсы остаются недоступными.
Если всё в порядке, IAP пропускает запрос и предоставляет сотруднику доступ только к тому ресурсу, который был настроен для него. Все остальные ресурсы остаются недоступными.
Как обеспечивается безопасность с Identity-Aware Proxy
Identity-Aware Proxy (IAP) — это многоуровневая система безопасности, которая обеспечивает защиту на каждом этапе доступа. Давайте разберем, как именно IAP защищает данные. IAP использует несколько уровней проверки, чтобы убедиться, что доступ к ресурсам получают только авторизованные пользователи:
1
Двухфакторная аутентификация (2FA). Сотрудник не только вводит логин и пароль, но и подтверждает вход через второй фактор, например, код из SMS или мобильное приложение.
2
Проверка устройств. IAP может проверять, с какого устройства сотрудник пытается получить доступ. Если устройство не соответствует корпоративным стандартам безопасности (например, на нем не установлены последние обновления), доступ будет заблокирован, а система оповестит о проблеме.
3
Мониторинг активности. Контекстная аутентификация IAP анализирует запрос: откуда сотрудник подключается, в какое время и с какого IP-адреса. Если что-то вызывает подозрения, доступ будет отклонен.
4
Защита от атак и фишинга, блокировка несанкционированного доступа. Даже если злоумышленник получил доступ к устройству сотрудника, он не сможет попасть в корпоративную сеть без авторизации через IAP. Он отслеживает действия пользователей и блокирует подозрительные запросы, такие как массовая загрузка данных.
Почему IAP — это будущее: опыт российских и зарубежных компаний
Технология Identity-Aware Proxy (IAP) — это решение, которое уже доказало свою эффективность у крупных зарубежных компаний, как Google. Одна из первых компаний, кто начал активно использовать IAP для защиты своих облачных сервисов. Их продукт Google Cloud IAP стал эталоном для многих организаций по всему миру.
Google — не единственный пример. Крупные облачные провайдеры, такие как Amazon Web Services (AWS) и Microsoft Azure, также предлагают похожие решения — это подтверждает востребованность технологии.
В России одним из первых крупных внедренцев IAP стал Ozon — один из лидеров e-commerce. На конференции HighLoad 2024 года руководитель отдела инфраструктурной безопасности Ozon Tech, Саркис Нанян, представил доклад «Identity Aware Proxy — как сделать весомый шаг в сторону Zero Trust». Он рассказал о том, как Ozon использует IAP для минимизации рисков при предоставлении доступа к корпоративной сети, заменяя традиционные VPN на более точечный и гранулярный доступ к веб-приложениям. Такой подход позволил компании приблизиться к модели Zero Trust, обеспечив высокий уровень безопасности и контроля.
Поэтому освоение таких технологий, как IAP — не просто тренд, а ответ на вызовы современного мира:
Google — не единственный пример. Крупные облачные провайдеры, такие как Amazon Web Services (AWS) и Microsoft Azure, также предлагают похожие решения — это подтверждает востребованность технологии.
В России одним из первых крупных внедренцев IAP стал Ozon — один из лидеров e-commerce. На конференции HighLoad 2024 года руководитель отдела инфраструктурной безопасности Ozon Tech, Саркис Нанян, представил доклад «Identity Aware Proxy — как сделать весомый шаг в сторону Zero Trust». Он рассказал о том, как Ozon использует IAP для минимизации рисков при предоставлении доступа к корпоративной сети, заменяя традиционные VPN на более точечный и гранулярный доступ к веб-приложениям. Такой подход позволил компании приблизиться к модели Zero Trust, обеспечив высокий уровень безопасности и контроля.
Поэтому освоение таких технологий, как IAP — не просто тренд, а ответ на вызовы современного мира:
Рост числа удаленных работников. С развитием цифровых технологий сотрудники все чаще стремятся работать из любой точки мира, не теряя в безопасности.
Популярность облачных сервисов. Все больше компаний переходят на облачные решения, и IAP идеально подходит для защиты таких ресурсов.
Упрощение интерфейсов и настроек. Сотрудники не хотят сложных установок, настроек и переключений — только браузер и доступ к нужным ресурсам.
Усиление безопасности корпоративных данных — главный приоритет для любой компании, и IAP обеспечивает такую защиту, предотвращая несанкционированный доступ и снижая риски утечек информации.
EmplDocs предоставляет услугу: безопасный доступ с Identity-Aware Proxy
В EmplDocs мы понимаем, что удобство и безопасность — два главных фактора для наших клиентов. Именно поэтому мы предлагаем услугу на open-source решении Identity-Aware Proxy для удалённого доступа к корпоративным ресурсам.
Почему мы выбрали Identity-Aware Proxy: преимущества open-source
Мы выбрали open-source решение, потому как IAP дает нам уверенность в безопасности, гибкости и возможности кастомизации под уникальные задачи:
1
Open-source — открытый код, который можно проверить. Это значит, что вы или независимые эксперты всегда можете проверить, как работает система.
2
Поддержка. Open-source решения поддерживаются огромным сообществом разработчиков по всему миру. Это значит, что система постоянно улучшается, обновляется и адаптируется под новые вызовы.
3
Возможности кастомизации. Мы можем легко подключить IAP к вашим текущим IT-системам, будь то CRM, ERP, HR-порталы или облачные сервисы. Это позволяет вам сохранить привычные процессы, добавив к ним новый уровень безопасности.
Для кого актуальна услуга подключения Identity-Aware Proxy?
Identity-Aware Proxy — это не просто «еще одна фича для IT». Это решение, которое закрывает ключевые боли ИТ-отдела в компаниях, которые:
Работают с конфиденциальными данными сотрудников, обрабатывают финансовую информацию или другие чувствительные данные.
Если безопасность — это ваш приоритет, то IAP обеспечит точечный доступ только к тем ресурсам, которые нужны конкретному сотруднику. Это минимизирует риски утечек и несанкционированного доступа.
Если безопасность — это ваш приоритет, то IAP обеспечит точечный доступ только к тем ресурсам, которые нужны конкретному сотруднику. Это минимизирует риски утечек и несанкционированного доступа.
Ищут современные и безопасные решения для удаленного доступа, но понимают, что VPN устарел.
Сотрудники жалуются на сложность подключения, замедление скорости или невозможность совмещать работу и другие задачи, тогда IAP — это выход.
Сотрудники жалуются на сложность подключения, замедление скорости или невозможность совмещать работу и другие задачи, тогда IAP — это выход.
Имеют распределенную структуру.
Создается единая точка входа — все сотрудники, независимо от их локации, получают доступ через одну платформу.
Создается единая точка входа — все сотрудники, независимо от их локации, получают доступ через одну платформу.
Используют облачные сервисы.
IAP легко интегрируется с системами единого входа SSO (Single Sign-On), что упрощает процесс авторизации в различные сервисы, IAP обеспечивает безопасность каждого облачного сервиса, минимизируя риски утечек данных.
IAP легко интегрируется с системами единого входа SSO (Single Sign-On), что упрощает процесс авторизации в различные сервисы, IAP обеспечивает безопасность каждого облачного сервиса, минимизируя риски утечек данных.
Если такие гиганты, как Google и Ozon уже доверяют IAP, возможно и вам стоит рассмотреть эту технологию. Услуга прокси-сервера на базе IAP от EmplDocs — снижает затраты на инфраструктуру, повышает безопасность приложений и улучшает опыт как для пользователей, так и для IT-администраторов. Мы уже испытали технологию на собственном примере и готовы делиться положительным опытом.
Если хотите узнать больше об услуге, свяжитесь с нами.
Если хотите узнать больше об услуге, свяжитесь с нами.
Всё готово
для быстрого старта
для быстрого старта
Пакет необходимых ЛНА, преднастроенные заявки и маршруты согласований – мы подготовили все, чтобы вы могли сразу приступить к работе
Материалы
28.02.25
#Nota bene
#Nota bene
25.02.25
#Nota bene
25.02.25