标签：安全远程访问

什么是安全远程访问？安全远程访问 是安全流程或解决方案的组合，旨在防止未经授权访问组织的数字资产并防止敏感数据丢失。安全远程访问可以包含多种方法，例如虚拟专用网络、多因素身份验证和端点保护等。由于 Covid 大流行，快速变化的威胁形势和远程工作人员数量的增加使安全远程访问成为当今 IT 环境的关键要素。成功需要对用户进行教育、加强网络安全政策以及制定安全卫生方面的最佳实践。,, 保护所有远程用户及其设备的 端点 —— 与保护在工作日期间经常使用多个设备的远程用户的端点相比，保护数据中心中的端点相当简单。防病毒软件应安装在所有端点设备上，无论是 PC、Mac、Linux、iOS 还是 Android。如果所有员工要访问公司资源，安全策略应要求他们保持当前的保护。如有必要，为员工提供指导和帮助，以帮助他们建立对组织的安全访问。, 防止远程访问增加攻击面 —— 设置远程访问会给组织带来风险。特别是， 勒索软件 攻击通常会扫描远程桌面协议 (RDP) 服务器，并会从任何可用端口获得访问权限。同样，除非防火墙配置为仅响应来自系统管理员的已知 IP 地址，否则不要打开远程访问端口。, 采用多因素身份验证 —— 两因素身份验证 (2FA) 要求用户提供“他们知道和拥有的东西”，例如密码和身份验证令牌，它们可以由设备或智能手机应用程序（如 DUO）生成。这可以确保只有经过验证的用户才能访问公司资源。, 使用虚拟专用网络—— 许多远程用户希望通过不安全的 Wi-Fi 或其他不受信任的网络连接进行连接。虚拟专用网络可以消除这种风险，但是虚拟专用网络端点软件也必须保持最新，以避免旧版本的软件客户端可能出现的漏洞。, 规范日志和安全信息跟踪 —— 记录来自客户端设备的流量的现有安全信息和事件管理 ( SIEM ) 工具可能会突然将用户从其家庭 IP 地址登录视为异常，因此可能需要对 SIEM 和地理围栏或防火墙中的地理封锁功能可确保员工可以从他们工作的任何地方登录。, 教育用户和承包商 —— Covid 大流行已经产生了许多声称与该病毒有关的新网络威胁和网络钓鱼攻击。作为安全和合规培训的一部分，应提醒所有员工和其他访问公司资源的人员不要点击任何未经请求的电子邮件或其中的链接。, 远程员工更新政策 —— 确保可接受的使用政策包括员工的家庭计算资产，可能是计算机、笔记本电脑、平板电脑和智能手机，包括更新可能安装在员工拥有的设备上的防病毒和虚拟专用网络软件。,,安全远程访问不是一项单一的技术，而是一组技术，它们共同提供组织在用户在家或其他远程位置工作时所需的安全性。他们包括：, 端点安全 – 这包括端点机器的防病毒软件以及定义如何在组织系统中使用远程设备的策略。这可能包括补丁管理和防止将关键业务信息下载或缓存到远程设备。, 虚拟专用网络 – 虚拟专用网络在远程访问方面非常受欢迎，因为它们允许通过不安全的远程 Wi-Fi（星巴克、书店）连接的远程用户通过加密隧道连接到专用网络。, 零信任网络访问 (ZTNA) – 顾名思义， ZTNA 解决方案不对连接的安全性做出任何假设，并且在每次交易之前都需要重新进行身份验证。这为组织的数据和应用程序提供了更高级别的安全性。, 网络访问控制 (NAC) – 网络访问通过组合工具进行管理，例如双因素身份验证 (2FA)、端点安全工具以及策略教育和执行。, 单点登录 (SSO) – 使用 SSO，用户只需要一组凭据即可访问其所有应用程序和资源。,尽管在 2020 年之前远程工作人员的数量不断增加，但 Covid 大流行迅速加速了用户从多个远程位置访问公司网络的需求。对于许多组织而言，绝大多数入站连接现在都源自其员工的家庭网络，这放大了组织和员工网络上的风险。因此，旧的、遗留的安全措施不能满足大部分偏远、主要是移动用户群的要求。新的安全基线要求为每个用户、他们使用的每个设备、他们连接的任何网络提供支持。,,安全的远程访问策略有几个好处。其中有：, 随时随地保护任何设备访问 —— 用户可以享受与以前在工作场所时享受的相同级别的高度安全访问。访问控制可以根据每个用户的角色和职责为他们提供对特定应用程序和数据的访问。由于即使在 Covid 危机过去之后，许多员工仍将在家工作，因此这是安全远程访问策略最重要的好处。, 强大的端点保护 —— 如果端点没有得到同样的保护，那么安全的远程访问就没有价值。由于用户越来越依赖多种设备来执行他们的工作，因此对笔记本电脑、平板电脑和智能手机的保护至关重要。此外，应为员工拥有的设备提供与组织提供的相同的端点安全功能。, 安全可靠的 Web 访问 —— 组织依赖许多基于 Web 和以 Internet 为中心的应用程序作为其 IT 环境的一部分。因此，用户在连接到 Internet 时需要保护，而不仅仅是在连接到组织的本地资源时。安全的远程访问包括保护用户免受基于 Web 的恶意软件威胁，例如勒索软件和网络钓鱼攻击。, 提高对安全问题的认识 —— 日益流动的劳动力带来了许多新的安全挑战，对其中许多人来说，教育是最好的治疗方法。通过维护和实施安全策略和最佳实践，IT 和安全组织可以不断强调良好的网络安全卫生的重要性。, ,什么是安全远程访问？安全远程访问 是安全流程或解决方案的组合，旨在防止未经授权访问组织的数字资产并防止敏感数据丢失。安全远程访问可以包含多种方法，例如虚拟专用网络、多因素身份验证和端点保护等。由于 Covid 大流行，快速变化的威胁形势和远程工作人员数量的增加使安全远程访问成为当今 IT 环境的关键要素。成功需要对用户进行教育、加强网络安全政策以及制定安全卫生方面的最佳实践。,, 安全可靠的 Web 访问 —— 组织依赖许多基于 Web 和以 Internet 为中心的应用程序作为其 IT...

安全数据远程访问是多种安全控制的组合，使用户能够安全地远程访问应用程序、桌面和数据等数字资源。它已成为用户在任何位置工作并因此面临各种网络威胁的商业环境中的一项关键要求。,,在这篇文章中，我们将讨论安全数据远程访问为何如此重要、它的工作原理、通常与之相关的技术，以及它是如何在 Parallels® RAS（一种用于访问虚拟应用程序和桌面的高度安全的解决方案）中使用的。,越来越多地采用远程和混合工作实践使企业面临大量针对远程会话不同方面的网络威胁。远程用户、远程端点设备，甚至远程会话本身都可能受到不同类型的攻击。,用户可能会遭受网络钓鱼、社会工程和身份盗窃。端点设备可能被勒索软件（或其他类型的恶意软件）感染、被盗或丢失。最后，中间人攻击可以拦截远程会话，被分布式拒绝服务 (DDoS) 攻击中断，或者被冒名顶替者劫持。,当这些实体中的任何一个（用户、端点或会话本身）受到威胁时，公司数据甚至公司的整个 IT 基础架构都可能面临风险。设法通过这些实体中的任何一个渗透到您的网络的威胁参与者然后可以使用该初始访问来建立滩头阵地并进行更复杂、更具破坏性的攻击。,现在您知道为什么不应该将安全数据远程访问视为理所当然。如果您正在寻找有关此主题的指南，我们还有一篇文章讨论了保护远程访问的最佳实践。, 安全远程访问功能,当您允许用户执行远程访问时，您就冒着将这些远程会话暴露于各种威胁的风险。因此，如果您想要保护这些会话（即，如果您想要实现安全的远程访问），您将需要使用多个控件。当您结合所有这些控件时，您最终会得到一个安全的远程访问环境或系统。,本节将讨论您需要使用的一些关键控件，以使您的安全远程访问系统正常工作。,, 需要强身份验证,实现安全远程访问的基本要素之一是需要强身份验证。基本身份验证通常以用户名和密码登录的形式出现，可以帮助您的远程系统验证登录到它的人是否是合法用户。然而，仅靠其本身并不足以阻止技术娴熟且积极进取的攻击者。,您需要的是更强大的东西，也许是某种形式的多因素身份验证 (MFA)。这样，如果威胁者以某种方式获取了用户的密码，那么如果第二个因素未能通过身份验证，那么该威胁者仍将无法登录。稍后我们将为您提供更多相关示例。, 保护端点设备,当用户执行远程访问时，通常他们从端点设备执行，例如 PC、笔记本电脑、电话、平板电脑或瘦客户端。如果用户的设备受到威胁，则从该设备执行的任何远程会话也可能受到威胁。,让我给你一个具体的例子。假设一个端点设备感染了具有类似蠕虫功能的勒索软件。如果该设备与勒索软件可以利用的服务器建立了开放连接，那么您的服务器也可能被感染。因此，保护​​端点设备本身很重要。同样，我们将在下一节讨论您可以执行此操作的各种方法。, 保护动态数据,大多数远程访问会话都是通过 Internet 进行的，这是一个充满威胁活动的网络。在互联网上，用户会话总是有可能被拦截和窃听。一些威胁参与者正在寻求窃取用户名和密码等敏感信息，然后使用这些信息登录您的主机。,因此，您需要一种方法来保护动态数据流量。虚拟专用网络 (VPN) 和安全套接字层/传输层安全 (SSL/TLS) 等技术是实现动态数据安全的两种最常见的选择。更多关于这些在下一届会议。,,对于在远程工作中使用虚拟桌面基础架构 (VDI)的用户，SSL/TLS 用于安全解决方案中，以保护 VDI 客户端和 VDI 服务器之间传输的数据。,有关 VDI 中安全远程访问的更多信息，我们建议您阅读：虚拟桌面基础架构数据安全计划的重要性。, 制定安全的远程访问策略,尽管它们肯定是您的安全计划的重要组成部分，但您不能仅仅依靠技术来建立安全的数据远程访问。您还需要用户合作才能使您的安全远程访问系统正常工作。不幸的是，大多数用户没有应用安全远程访问的相同动机。通常，您需要某种“推动”来让他们合作。,在这方面，一套政策将是一个很好的起点。对于需要了解在执行远程访问时实施安全性的内容、原因和方式的用户，安全的远程访问策略可以充当护栏。, 教育用户,安全策略只有在用户遵循它们时才有效。否则，他们只会坐在架子上并聚集灰尘。但是你如何让用户遵守政策？嗯，首先，他们需要了解这些政策的价值。你可以通过教育他们来帮助他们获得这种欣赏。,定期举行会议，让用户熟悉围绕远程访问的各种威胁、不解决这些威胁的后果以及他们可以采取的减轻这些威胁的措施。实际上，这将包括对您的安全策略的彻底讨论。, 记录远程会话的日志,无论你多么努力，威胁总是有可能滑过你的防御。当然，您可以在实施安全措施时降低发生这种情况的可能性。现在，如果威胁确实设法避开了您的安全远程访问系统怎么办？好吧，如果您受到网络攻击，您需要执行几个过程。然而，最重要的一项是进行某种形式的数字取证，即调查。,,这将使您能够深入了解攻击并了解可能受到影响的内容、攻击的执行方式、您可以采取哪些措施来防止将来发生类似事件等等。然而，为了让数字取证专家进行有效的调查，他们需要大量的证据。通常可以在您的日志中找到这些证据。,现在，让我们讨论可以帮助您实施我们刚才提到的安全控制的特定技术。, 多因素身份验证,要实现多因素身份验证，通常您会将常规的基于密码的身份验证与另一个身份验证因素结合起来。基于密码的身份验证是基于用户知道什么的挑战。因此，理想情况下，您会选择基于不同因素的第二种身份验证方法，例如，用户拥有的某些东西（私钥、令牌、一次性密码或 OTP 等）或用户的某些东西（指纹、虹膜扫描、面部扫描等）。, 端点安全,端点安全旨在使威胁参与者难以渗透用户的端点设备。这可能涉及多种解决方案，包括修补该设备上的操作系统和应用程序、在设备上设置防火墙、安装反恶意软件、实施硬盘加密等等。, VPN,对于动态数据保护，通常的解决方案是基于加密。最广泛使用的解决方案之一是虚拟专用网络或 VPN。通常，VPN 要求用户在其端点设备上安装 VPN 客户端软件。然后，他们将登录到该客户端，以便通过安全、加密的连接连接到公司资源。, SSL/TLS,SSL/TLS 是另一种广泛使用的动态数据加密解决方案。它通常与其他网络协议（例如 FTP、HTTP 或 WebDAV）结合使用，以生成这些协议的安全版本，例如 FTPS、HTTPS 和 WebDAVS。当您连接到 URL 上带有锁定图标的网站时，这意味着您正在使用受 SSL/TLS 保护的 HTTP 连接。,, 安全单点登录,单点登录 (SSO) 是一种解决方案，它使用户能够进行一次身份验证，然后允许访问与同一解决方案集成的多个应用程序和服务。提供安全 SSO 的一种特殊技术是安全断言标记语言 (SAML)。SAML 确保在身份提供者和服务提供者之间传递用户身份验证和授权的过程以安全的方式完成。,建立安全数据远程访问的那一刻，您将为您的企业带来巨大的利益。以下是您可以使用它实现的一些目标。, 提高生产力,受损的 IT 环境（例如，主机或端点设备感染了恶意软件的环境）会对业务流程产生不利影响。应用程序可能响应缓慢；烦人的广告可能会不断弹出，网络可能会慢到爬行，等等。当您实施安全远程访问时，您可以防止这些不良事件的发生。, 避免停机,在最坏的情况下（例如，如果您的网络被勒索软件侵占），您的整个网络可能会陷入停顿，您的业务将无法运营。在此停机期间，客户的请求将不得不被拒绝，交易将无法完成，机会将丢失。更糟糕的是，您公司的声誉可能会受到打击。同样，强大、安全的远程访问实施可以减轻这些风险。, 实现监管合规,健康保险流通与责任法案 (HIPAA) 和支付卡行业数据安全标准 (PCI DSS) 等数据隐私/保护法律法规包括访问控制条款。安全的远程访问实施可以帮助您遵守与访问控制相关的要求。,, 增强整体安全性,如您所知，安全数据远程访问涉及多个安全控制。虽然我们的讨论主要集中在保护远程访问上，但这些控制措施还可以保护您 IT 基础架构的其他区域。例如，当您实施端点安全时，您不仅要保护执行远程访问的端点设备。即使那些仅访问局域网 (LAN) 内资源的设备也会受到保护。因此，虽然看似专注于保护远程会话，但安全远程访问计划也有助于您组织的整体安全状况。, ,安全数据远程访问是多种安全控制的组合，使用户能够安全地远程访问应用程序、桌面和数据等数字资源。它已成为用户在任何位置工作并因此面临各种网络威胁的商业环境中的一项关键要求。,当这些实体中的任何一个（用户、端点或会话本身）受到威胁时，公司数据甚至公司的整个 IT 基础架构都可能面临风险。设法通过这些实体中的任何一个渗透到您的网络的威胁参与者然后可以使用该初始访问来建立滩头阵地并进行更复杂、更具破坏性的攻击。,