Chciałem wrzucić taki temat do przemyślenia bo wydaje mi się dosyć istotny w sytuacji że z EZD RP korzystają codziennie prawie wszyscy pracownicy więc kwestia działania systemu jest kluczowa. Mamy skonfigurowany tunel na urządzeniu brzegowym (zazwyczaj jakiś UTM) oraz internet ze stałym IP. Tunel oraz IP są niezbędnym warunkiem aby był dostęp do EZD RP. W przypadku awarii internetu jesteśmy uziemieni, bo nawet mając dostępny internet np. mobilny to nie mamy stałego IP. W przypadku awarii urządzenia brzegowego jesteśmy również uziemieni bo zakup nowego i jego konfiguracja pod tunel trochę potrwa. Czy nie warto by pomyśleć o jakimś dostępie awaryjnym (np. uaktywnianym po stronie NASK po kontakcie mailowym/telefonicznym) np. z użyciem aplikacji FortiClient VPN po stronie jednostki? Tak żeby dało się podłączyć i jakoś korzystać z EZD nie mając stałego IP do czasu rozwiązania awarii ?
Dzień dobry,
dziękuję za sugestię i pomysł rozwojowy systemu EZDRP.
Pozdrawiam,
Łukasz Markiewicz
uwaga jest słuszna i zapewnienie ciągłości dostępu do EZD RP również uważam za element krytyczny. Pytanie czy taki wyjątek w regułach bezpieczeństwa NASK jest potrzebny, czy można te rozwiązanie znaleźć w inny sposób? Skoro szykujemy się na “plan B” i właściwie pytanie nie brzmi “czy” tylko “kiedy” to czemu podmiot już dzisiaj nie zorganizuje alternatywnego dostawcy lub utrzymuje kanał mobilny w którym można wykupić usługę stałego IP?
Bez przesady z tym wyjątkiem bezpieczeństwa. Na tą chwilę kilkaset osób ze szkół artystycznych w Polsce ma dostęp do EZD RP za pomocą Forticlienta VPN bo szkoły nie posiadają UTMów do zestawienia tuneli site-site. Użytkownicy mogą się więc podłączać do EZD RP z dowolnego internetu ( np. z domu) bez stałego IP. Nie ma sensu przepłacać na dodatkowy internet bo to są niepotrzebne koszty, poza tym nie rozwiązuje to problemu z awarią UTMu. Posiadanie skonfigurowanego konta na kliencie VPN do awaryjnego połączenia się z EZD po uprzednim kontakcie z NASK jest rozwiązaniem tanim, szybkim i bezproblemowym we wdrożeniu.
tezy dot. bezproblemowości zostawmy na boku : )
Na tą chwilę kilkaset osób ze szkół artystycznych w Polsce ma dostęp do EZD RP za pomocą Forticlienta VPN bo szkoły nie posiadają UTMów do zestawienia tuneli site-site
nie mam tego świadomości - zweryfikuje skąd taki wyjątek.
docelowo myślimy o innym scenariuszu, rodzaju self-service dla administratora jednostki w zakresie dostępów bazującym na narzędziach opensource, ale wciąż - sterowanym z sieci i administrowanym po stronie jednostki. Dla nas jest bardzo ważne żeby kontrolować skąd jest wykonywany ruch do chmury EZD i faktem jest, że przyjmujemy wymagający scenariusz, ale i tak łagodniejszy niż dostęp do rejestrów : )
Pozwolę się nie zgodzić z tezą, że kilkaset osób ze szkół artystycznych w Polsce ma dostęp do EZD RP za pomocą Forticlienta VPN bo szkoły nie posiadają UTMów do zestawienia tuneli site-site. Cały ruch ze szkół jest kierowany w jedno miejsce z którego dostęp do środowiska SaaS EZD RP jest za pomocą Tunel VPN site-site.
sprawdzone - potwierdzam. Poprzez Forticlienta szkoły tworzą własną siec korporacyjna i wychodzą do SaaS EZD RP jednym tunelem IPSec.
Rekomenduje analizę w kierunku organizacji drugiego, awaryjnego tunelu do SaaS EZD RP.