安全數(shù)據(jù)遠(yuǎn)程訪問是多種安全控制的組合,使用戶能夠安全地遠(yuǎn)程訪問應(yīng)用程序、桌面和數(shù)據(jù)等數(shù)字資源。它已成為用戶在任何位置工作并因此面臨各種網(wǎng)絡(luò)威脅的商業(yè)環(huán)境中的一項(xiàng)關(guān)鍵要求。
在這篇文章中,我們將討論安全數(shù)據(jù)遠(yuǎn)程訪問為何如此重要、它的工作原理、通常與之相關(guān)的技術(shù),以及它是如何在 Parallels? RAS(一種用于訪問虛擬應(yīng)用程序和桌面的高度安全的解決方案)中使用的。
安全遠(yuǎn)程訪問的重要性
越來越多地采用遠(yuǎn)程和混合工作實(shí)踐使企業(yè)面臨大量針對(duì)遠(yuǎn)程會(huì)話不同方面的網(wǎng)絡(luò)威脅。遠(yuǎn)程用戶、遠(yuǎn)程端點(diǎn)設(shè)備,甚至遠(yuǎn)程會(huì)話本身都可能受到不同類型的攻擊。
用戶可能會(huì)遭受網(wǎng)絡(luò)釣魚、社會(huì)工程和身份盜竊。端點(diǎn)設(shè)備可能被勒索軟件(或其他類型的惡意軟件)感染、被盜或丟失。最后,中間人攻擊可以攔截遠(yuǎn)程會(huì)話,被分布式拒絕服務(wù) (DDoS) 攻擊中斷,或者被冒名頂替者劫持。
當(dāng)這些實(shí)體中的任何一個(gè)(用戶、端點(diǎn)或會(huì)話本身)受到威脅時(shí),公司數(shù)據(jù)甚至公司的整個(gè) IT 基礎(chǔ)架構(gòu)都可能面臨風(fēng)險(xiǎn)。設(shè)法通過這些實(shí)體中的任何一個(gè)滲透到您的網(wǎng)絡(luò)的威脅參與者然后可以使用該初始訪問來建立灘頭陣地并進(jìn)行更復(fù)雜、更具破壞性的攻擊。
現(xiàn)在您知道為什么不應(yīng)該將安全數(shù)據(jù)遠(yuǎn)程訪問視為理所當(dāng)然。如果您正在尋找有關(guān)此主題的指南,我們還有一篇文章討論了保護(hù)遠(yuǎn)程訪問的最佳實(shí)踐。
安全遠(yuǎn)程訪問功能
當(dāng)您允許用戶執(zhí)行遠(yuǎn)程訪問時(shí),您就冒著將這些遠(yuǎn)程會(huì)話暴露于各種威脅的風(fēng)險(xiǎn)。因此,如果您想要保護(hù)這些會(huì)話(即,如果您想要實(shí)現(xiàn)安全的遠(yuǎn)程訪問),您將需要使用多個(gè)控件。當(dāng)您結(jié)合所有這些控件時(shí),您最終會(huì)得到一個(gè)安全的遠(yuǎn)程訪問環(huán)境或系統(tǒng)。
本節(jié)將討論您需要使用的一些關(guān)鍵控件,以使您的安全遠(yuǎn)程訪問系統(tǒng)正常工作。
需要強(qiáng)身份驗(yàn)證
實(shí)現(xiàn)安全遠(yuǎn)程訪問的基本要素之一是需要強(qiáng)身份驗(yàn)證。基本身份驗(yàn)證通常以用戶名和密碼登錄的形式出現(xiàn),可以幫助您的遠(yuǎn)程系統(tǒng)驗(yàn)證登錄到它的人是否是合法用戶。然而,僅靠其本身并不足以阻止技術(shù)嫻熟且積極進(jìn)取的攻擊者。
您需要的是更強(qiáng)大的東西,也許是某種形式的多因素身份驗(yàn)證 (MFA)。這樣,如果威脅者以某種方式獲取了用戶的密碼,那么如果第二個(gè)因素未能通過身份驗(yàn)證,那么該威脅者仍將無(wú)法登錄。稍后我們將為您提供更多相關(guān)示例。
保護(hù)端點(diǎn)設(shè)備
當(dāng)用戶執(zhí)行遠(yuǎn)程訪問時(shí),通常他們從端點(diǎn)設(shè)備執(zhí)行,例如 PC、筆記本電腦、電話、平板電腦或瘦客戶端。如果用戶的設(shè)備受到威脅,則從該設(shè)備執(zhí)行的任何遠(yuǎn)程會(huì)話也可能受到威脅。
讓我給你一個(gè)具體的例子。假設(shè)一個(gè)端點(diǎn)設(shè)備感染了具有類似蠕蟲功能的勒索軟件。如果該設(shè)備與勒索軟件可以利用的服務(wù)器建立了開放連接,那么您的服務(wù)器也可能被感染。因此,保護(hù)??端點(diǎn)設(shè)備本身很重要。同樣,我們將在下一節(jié)討論您可以執(zhí)行此操作的各種方法。
保護(hù)動(dòng)態(tài)數(shù)據(jù)
大多數(shù)遠(yuǎn)程訪問會(huì)話都是通過 Internet 進(jìn)行的,這是一個(gè)充滿威脅活動(dòng)的網(wǎng)絡(luò)。在互聯(lián)網(wǎng)上,用戶會(huì)話總是有可能被攔截和竊聽。一些威脅參與者正在尋求竊取用戶名和密碼等敏感信息,然后使用這些信息登錄您的主機(jī)。
因此,您需要一種方法來保護(hù)動(dòng)態(tài)數(shù)據(jù)流量。虛擬專用網(wǎng)絡(luò) (VPN) 和安全套接字層/傳輸層安全 (SSL/TLS) 等技術(shù)是實(shí)現(xiàn)動(dòng)態(tài)數(shù)據(jù)安全的兩種最常見的選擇。更多關(guān)于這些在下一屆會(huì)議。
對(duì)于在遠(yuǎn)程工作中使用虛擬桌面基礎(chǔ)架構(gòu) (VDI)的用戶,SSL/TLS 用于安全解決方案中,以保護(hù) VDI 客戶端和 VDI 服務(wù)器之間傳輸?shù)臄?shù)據(jù)。
有關(guān) VDI 中安全遠(yuǎn)程訪問的更多信息,我們建議您閱讀:虛擬桌面基礎(chǔ)架構(gòu)數(shù)據(jù)安全計(jì)劃的重要性。
制定安全的遠(yuǎn)程訪問策略
盡管它們肯定是您的安全計(jì)劃的重要組成部分,但您不能僅僅依靠技術(shù)來建立安全的數(shù)據(jù)遠(yuǎn)程訪問。您還需要用戶合作才能使您的安全遠(yuǎn)程訪問系統(tǒng)正常工作。不幸的是,大多數(shù)用戶沒有應(yīng)用安全遠(yuǎn)程訪問的相同動(dòng)機(jī)。通常,您需要某種“推動(dòng)”來讓他們合作。
在這方面,一套政策將是一個(gè)很好的起點(diǎn)。對(duì)于需要了解在執(zhí)行遠(yuǎn)程訪問時(shí)實(shí)施安全性的內(nèi)容、原因和方式的用戶,安全的遠(yuǎn)程訪問策略可以充當(dāng)護(hù)欄。
教育用戶
安全策略只有在用戶遵循它們時(shí)才有效。否則,他們只會(huì)坐在架子上并聚集灰塵。但是你如何讓用戶遵守政策?嗯,首先,他們需要了解這些政策的價(jià)值。你可以通過教育他們來幫助他們獲得這種欣賞。
定期舉行會(huì)議,讓用戶熟悉圍繞遠(yuǎn)程訪問的各種威脅、不解決這些威脅的后果以及他們可以采取的減輕這些威脅的措施。實(shí)際上,這將包括對(duì)您的安全策略的徹底討論。
記錄遠(yuǎn)程會(huì)話的日志
無(wú)論你多么努力,威脅總是有可能滑過你的防御。當(dāng)然,您可以在實(shí)施安全措施時(shí)降低發(fā)生這種情況的可能性。現(xiàn)在,如果威脅確實(shí)設(shè)法避開了您的安全遠(yuǎn)程訪問系統(tǒng)怎么辦?好吧,如果您受到網(wǎng)絡(luò)攻擊,您需要執(zhí)行幾個(gè)過程。然而,最重要的一項(xiàng)是進(jìn)行某種形式的數(shù)字取證,即調(diào)查。
這將使您能夠深入了解攻擊并了解可能受到影響的內(nèi)容、攻擊的執(zhí)行方式、您可以采取哪些措施來防止將來發(fā)生類似事件等等。然而,為了讓數(shù)字取證專家進(jìn)行有效的調(diào)查,他們需要大量的證據(jù)。通常可以在您的日志中找到這些證據(jù)。
用于安全遠(yuǎn)程訪問的技術(shù)
現(xiàn)在,讓我們討論可以幫助您實(shí)施我們剛才提到的安全控制的特定技術(shù)。
多因素身份驗(yàn)證
要實(shí)現(xiàn)多因素身份驗(yàn)證,通常您會(huì)將常規(guī)的基于密碼的身份驗(yàn)證與另一個(gè)身份驗(yàn)證因素結(jié)合起來。基于密碼的身份驗(yàn)證是基于用戶知道什么的挑戰(zhàn)。因此,理想情況下,您會(huì)選擇基于不同因素的第二種身份驗(yàn)證方法,例如,用戶擁有的某些東西(私鑰、令牌、一次性密碼或 OTP 等)或用戶的某些東西(指紋、虹膜掃描、面部掃描等)。
端點(diǎn)安全
端點(diǎn)安全旨在使威脅參與者難以滲透用戶的端點(diǎn)設(shè)備。這可能涉及多種解決方案,包括修補(bǔ)該設(shè)備上的操作系統(tǒng)和應(yīng)用程序、在設(shè)備上設(shè)置防火墻、安裝反惡意軟件、實(shí)施硬盤加密等等。
VPN
對(duì)于動(dòng)態(tài)數(shù)據(jù)保護(hù),通常的解決方案是基于加密。最廣泛使用的解決方案之一是虛擬專用網(wǎng)絡(luò)或 VPN。通常,VPN 要求用戶在其端點(diǎn)設(shè)備上安裝 VPN 客戶端軟件。然后,他們將登錄到該客戶端,以便通過安全、加密的連接連接到公司資源。
SSL/TLS
SSL/TLS 是另一種廣泛使用的動(dòng)態(tài)數(shù)據(jù)加密解決方案。它通常與其他網(wǎng)絡(luò)協(xié)議(例如 FTP、HTTP 或 WebDAV)結(jié)合使用,以生成這些協(xié)議的安全版本,例如 FTPS、HTTPS 和 WebDAVS。當(dāng)您連接到 URL 上帶有鎖定圖標(biāo)的網(wǎng)站時(shí),這意味著您正在使用受 SSL/TLS 保護(hù)的 HTTP 連接。
安全單點(diǎn)登錄
單點(diǎn)登錄 (SSO) 是一種解決方案,它使用戶能夠進(jìn)行一次身份驗(yàn)證,然后允許訪問與同一解決方案集成的多個(gè)應(yīng)用程序和服務(wù)。提供安全 SSO 的一種特殊技術(shù)是安全斷言標(biāo)記語(yǔ)言 (SAML)。SAML 確保在身份提供者和服務(wù)提供者之間傳遞用戶身份驗(yàn)證和授權(quán)的過程以安全的方式完成。
安全遠(yuǎn)程訪問帶來的好處
建立安全數(shù)據(jù)遠(yuǎn)程訪問的那一刻,您將為您的企業(yè)帶來巨大的利益。以下是您可以使用它實(shí)現(xiàn)的一些目標(biāo)。
提高生產(chǎn)力
受損的 IT 環(huán)境(例如,主機(jī)或端點(diǎn)設(shè)備感染了惡意軟件的環(huán)境)會(huì)對(duì)業(yè)務(wù)流程產(chǎn)生不利影響。應(yīng)用程序可能響應(yīng)緩慢;煩人的廣告可能會(huì)不斷彈出,網(wǎng)絡(luò)可能會(huì)慢到爬行,等等。當(dāng)您實(shí)施安全遠(yuǎn)程訪問時(shí),您可以防止這些不良事件的發(fā)生。
避免停機(jī)
在最壞的情況下(例如,如果您的網(wǎng)絡(luò)被勒索軟件侵占),您的整個(gè)網(wǎng)絡(luò)可能會(huì)陷入停頓,您的業(yè)務(wù)將無(wú)法運(yùn)營(yíng)。在此停機(jī)期間,客戶的請(qǐng)求將不得不被拒絕,交易將無(wú)法完成,機(jī)會(huì)將丟失。更糟糕的是,您公司的聲譽(yù)可能會(huì)受到打擊。同樣,強(qiáng)大、安全的遠(yuǎn)程訪問實(shí)施可以減輕這些風(fēng)險(xiǎn)。
實(shí)現(xiàn)監(jiān)管合規(guī)
健康保險(xiǎn)流通與責(zé)任法案 (HIPAA) 和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 等數(shù)據(jù)隱私/保護(hù)法律法規(guī)包括訪問控制條款。安全的遠(yuǎn)程訪問實(shí)施可以幫助您遵守與訪問控制相關(guān)的要求。
增強(qiáng)整體安全性
如您所知,安全數(shù)據(jù)遠(yuǎn)程訪問涉及多個(gè)安全控制。雖然我們的討論主要集中在保護(hù)遠(yuǎn)程訪問上,但這些控制措施還可以保護(hù)您 IT 基礎(chǔ)架構(gòu)的其他區(qū)域。例如,當(dāng)您實(shí)施端點(diǎn)安全時(shí),您不僅要保護(hù)執(zhí)行遠(yuǎn)程訪問的端點(diǎn)設(shè)備。即使那些僅訪問局域網(wǎng) (LAN) 內(nèi)資源的設(shè)備也會(huì)受到保護(hù)。因此,雖然看似專注于保護(hù)遠(yuǎn)程會(huì)話,但安全遠(yuǎn)程訪問計(jì)劃也有助于您組織的整體安全狀況。
