TSplus Advanced Security Logo

هل ترغب في رؤية الموقع بلغة مختلفة؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغيير اللغة
جدول المحتويات

مقدمة

يتيح الوصول الآمن عبر المتصفح إلى التطبيقات الخاصة للموظفين والمقاولين والشركاء الوصول إلى التطبيقات التجارية من أي مكان دون فتح الشبكة بالكامل. بالنسبة لفرق تكنولوجيا المعلومات في الشركات الصغيرة والمتوسطة، تتمثل التحدي في تحقيق التوازن بين الراحة والحماية. يشرح هذا المقال كيفية تقليل مخاطر الوصول عن بُعد من خلال أقل الامتيازات، والمصادقة الأقوى، وقواعد الاتصال المتحكم بها.

ما هو الوصول الآمن إلى التطبيقات الخاصة عبر المتصفح؟

يتيح الوصول الآمن للمتصفح إلى التطبيقات الخاصة للمستخدمين المصرح لهم فتح التطبيقات التجارية الداخلية من خلال متصفح الويب. بدلاً من الاتصال بالشبكة بأكملها عبر شبكة خاصة افتراضية، أو VPN، يصل المستخدمون فقط إلى التطبيقات المخصصة لهم.

قد تكون التطبيق الخاص نظام تخطيط موارد المؤسسات، برنامج محاسبة، قاعدة بيانات العملاء، بوابة داخلية، وحدة تحكم إدارية، تطبيق ويندوز قديم أو بروتوكول سطح المكتب عن بُعد RDP، التطبيق. التطبيق خاص لأنه لا ينبغي أن يكون متاحًا مباشرة على الإنترنت العام.

مبدأ الأمان بسيط: يجب أن يوفر الوصول عبر المتصفح التطبيق، وليس الشبكة بأكملها. هذا يدعم أقل الامتيازات، حيث يحصل المستخدمون على الوصول المطلوب لدورهم ولا شيء أكثر.

يجب أن يحمي الوصول الآمن للمتصفح أيضًا ما يوجد خلف صفحة تسجيل الدخول. تظل جلسات Windows والملفات والبيانات الاعتمادية وتطبيقات الأعمال أهدافًا قيمة، لذا يحتاج بيئة الخادم إلى ضوابط أمان تتجاوز المصادقة البسيطة.

لماذا يمكن أن يؤدي الوصول عبر VPN فقط إلى خلق مخاطر غير ضرورية؟

تظل الشبكات الافتراضية الخاصة مفيدة للمسؤولين والمستخدمين الفنيين الذين يحتاجون إلى وصول واسع على مستوى الشبكة. تنشئ الشبكة الافتراضية الخاصة نفقًا مشفرًا إلى شبكة خاصة ويمكن أن تكون فعالة عند تكوينها بشكل صحيح.

ومع ذلك، قد يكون الوصول عبر VPN فقط مفرطًا عندما يحتاج المستخدم إلى تطبيق واحد أو مجموعة صغيرة من موارد الأعمال. في هذه الحالة، قد يزيد VPN من رؤية الشبكة، ودعم العمل على النقاط النهائية، والتأثير المحتمل لحساب مخترق.

NIST SP 800-46 Rev. 2 يشرح أن برامج أمان الوصول عن بُعد يجب أن تأخذ في الاعتبار العمل عن بُعد، والوصول عن بُعد، وسيناريوهات إحضار جهازك الخاص، بما في ذلك سياسة الأمان وضوابط التكنولوجيا. هذا مهم لأن الوصول إلى التطبيقات الخاصة غالبًا ما ينطوي على مستخدمين خارجيين، وأجهزة غير مُدارة، واتصالات من شبكات خارج سيطرة المنظمة.

بالنسبة للشركات الصغيرة والمتوسطة، يمكن أن تصبح تعقيدات VPN مشكلة تشغيلية يومية. قد يحتاج المتعاقدون إلى وصول مؤقت. قد يعمل المستخدمون من أجهزة شخصية. قد تقضي فرق تكنولوجيا المعلومات وقتًا طويلاً في إدارة العملاء بدلاً من تقليل المخاطر.

يوفر الوصول الآمن إلى التطبيقات الخاصة عبر المتصفح نموذجًا أكثر تركيزًا. تنشر المنظمة تطبيقات محددة، وتتحكم في من يمكنه الاتصال وتحمي البنية التحتية التي تعمل عليها تلك التطبيقات.

ما الذي يجعل الوصول عبر المتصفح آمناً؟

الوصول عبر المتصفح ليس آمناً تلقائياً. يمكن أن يتعرض بوابة الويب أو صفحة تسجيل الدخول أو التطبيق المنشور للهجوم إذا تم الكشف عنها دون ضوابط قوية.

يعتمد الوصول الآمن عبر المتصفح على ثلاث طبقات: الهوية، نطاق التطبيق وحماية البنية التحتية. كل طبقة تقلل من جزء مختلف من مخاطر الوصول عن بُعد.

الهوية والمصادقة

تحدد ضوابط الهوية من يُسمح له بالاتصال. يجب على المؤسسات استخدام سياسات كلمات مرور قوية، والمصادقة متعددة العوامل، أو MFA، وقواعد قفل الحساب لنقاط الوصول المكشوفة.

بالنسبة للبيئات المعتمدة على RDP، فإن مصادقة مستوى الشبكة، أو NLA، مهمة أيضًا. تقوم NLA بمصادقة المستخدمين قبل إنشاء جلسة RDP كاملة، مما يساعد على تقليل التعرض غير الضروري لموارد الخادم.

تحكم الوصول على مستوى التطبيق

يحدد التحكم في الوصول على مستوى التطبيق ما يمكن لكل مستخدم الوصول إليه بعد المصادقة. هذه هي الفروق بين "يمكن للمستخدم فتح تطبيق المحاسبة" و "يمكن للمستخدم تصفح الخادم".

يجب أن يخصص الوصول الآمن للمتصفح التطبيقات حسب المستخدم أو المجموعة. يجب ألا تتلقى فرق المالية والمحاسبون الخارجيون والمقاولون والمديرون نفس الوصول بشكل افتراضي. هذا يدعم عملية عملية. ثقة صفر للوصول عن بُعد للشركات الصغيرة والمتوسطة نموذج، حيث يتم التحقق من كل مستخدم وجهاز وجلسة قبل السماح بالوصول.

حماية الخادم والبيانات

يجب أن يتضمن الوصول الآمن إلى المتصفح أمان متقدم تتحكم في مثل الدفاع ضد القوة الغاشمة، والتصفية الجغرافية، وقيود ساعات العمل، والتحكم في الأذونات، وحماية من برامج الفدية، والتنبيهات وسجلات الأمان. بدون هذه الطبقات، يصبح المتصفح ببساطة سطح وصول عن بُعد مكشوف آخر.

يجب أن يتضمن الوصول الآمن للمتصفح لذلك الدفاع ضد هجمات القوة الغاشمة، والتصفية الجغرافية، وقيود ساعات العمل، والتحكم في الأذونات، وحماية من برامج الفدية، والتنبيهات وسجلات الأمان. بدون هذه الطبقات، يصبح المتصفح ببساطة سطح وصول عن بُعد مكشوف آخر.

ما هي أفضل الممارسات للوصول الآمن إلى التطبيقات الخاصة عبر المتصفح؟

يجب أن تقلل استراتيجية الوصول الآمن عبر المتصفح من التعرض قبل وأثناء وبعد كل اتصال. تساعد الممارسات التالية فرق تكنولوجيا المعلومات على حماية التطبيقات الخاصة دون إنشاء تعقيد غير ضروري.

نشر فقط التطبيقات التي يحتاجها المستخدمون

يجب أن تبدأ نشر التطبيقات بتعيين الأدوار. يجب أن يحصل كل مستخدم أو مجموعة على الوصول فقط إلى التطبيقات المطلوبة للعمل اليومي.

على سبيل المثال، قد يحتاج محاسب خارجي إلى تطبيق محاسبة ولكن ليس إلى سطح مكتب كامل. قد يحتاج مقاول الدعم إلى وحدة تحكم إدارية واحدة ولكن ليس إلى الوصول إلى خادم الملفات.

يقلل هذا النطاق من الأضرار المحتملة الناتجة عن سرقة بيانات الاعتماد أو إساءة استخدام الجلسة. حتى عندما يتم اختراق حساب، يكون لدى المهاجم أنظمة أقل للوصول إليها.

تجنب كشف RDP والخدمات عن بُعد مباشرة

تجذب الخدمات البعيدة المعرضة مباشرة الماسحات وأدوات القوة الغاشمة وهجمات بيانات الاعتماد. يجب ألا تترك RDP مفتوحة على الإنترنت دون حماية إضافية.

مايكروسوفت ليرن يصف بوابة سطح المكتب البعيد، أو بوابة RD، كوسيلة للمستخدمين للاتصال بموارد الشبكة الداخلية بشكل آمن من خارج جدار الحماية الخاص بالشركة. يساعد هذا النموذج القائم على البوابة في تجنب الوصول المباشر غير المنضبط إلى الأنظمة الداخلية.

حتى عندما تستخدم منظمة بوابة ويب أو بوابة، يجب على المسؤولين تقليل المنافذ المكشوفة، وتعزيز المصادقة، ومراقبة سلوك تسجيل الدخول. تعتمد أمان الوصول عن بُعد على السلسلة الكاملة، وليس فقط شاشة تسجيل الدخول الأولى.

فرض MFA و NLA وسياسات كلمات المرور القوية

كلمات المرور وحدها ليست كافية للوصول عن بُعد. كلمات المرور المعاد استخدامها، والتصيد الاحتيالي، وملء بيانات الاعتماد تجعل صفحات تسجيل الدخول المكشوفة هدفًا شائعًا.

تضيف MFA خطوة تحقق ثانية. تساعد NLA في حماية بيئات RDP من خلال مصادقة المستخدمين قبل إنشاء جلسة عن بُعد كاملة. تقلل قواعد كلمات المرور القوية وسياسات قفل الحسابات من فرصة نجاح التخمين الآلي.

تحتاج حسابات المسؤولين إلى ضوابط أكثر صرامة. يجب أن يستخدم وصول المسؤول المصادقة متعددة العوامل، ومواقع مصادر محدودة، وبيانات اعتماد مخصصة، ومراقبة أقرب.

تقييد الوصول حسب الدولة وعنوان IP وساعات العمل

ليس كل منظمة تحتاج إلى قبول الاتصالات عن بُعد من كل موقع. تقلل القيود الجغرافية وقوائم السماح الخاصة بـ IP من التعرض غير الضروري.

على سبيل المثال، يمكن لشركة صغيرة ومتوسطة تعمل فقط في فرنسا وإسبانيا وألمانيا حظر محاولات تسجيل الدخول من دول أخرى. يمكن لمزود خدمة مُدارة تقييد وصول المسؤولين إلى عناوين IP المكتبية الموثوقة.

تضيف قيود ساعات العمل طبقة مفيدة أخرى. إذا كان المتعاقدون يعملون من الاثنين إلى الجمعة، من 08:00 إلى 18:00، فلا ينبغي أن تظل جلساتهم متاحة في الساعة 02:00 يوم الأحد.

تطبيق أقل الامتيازات على الملفات والطابعات وموارد النظام

الوصول إلى التطبيقات لا يعني تلقائيًا الوصول الآمن. بمجرد فتح جلسة، قد يتفاعل المستخدمون مع محركات الأقراص المحلية أو الطابعات أو مفاتيح التسجيل أو المجلدات.

يجب على المسؤولين مراجعة حقوق نظام الملفات، والوصول إلى الطابعة، وسلوك الحافظة، وإعدادات النظام. يجب ألا يحصل المستخدم الذي يحتاج إلى تطبيق خاص واحد على أذونات واسعة للخادم.

يحد الحد الأدنى من الامتيازات من نطاق الأضرار الناتجة عن حساب مخترق. كما أنه يقلل من فرصة تأثير خطأ المستخدم أو البرمجيات الضارة على الموارد غير المرتبطة.

مراقبة محاولات تسجيل الدخول الفاشلة وسلوك برامج الفدية

يمكن أن تشير محاولات تسجيل الدخول الفاشلة المتكررة إلى نشاط هجوم القوة الغاشمة أو حشو بيانات الاعتماد أو البرامج النصية المكونة بشكل غير صحيح. يعد الحظر التلقائي مفيدًا لأن الهجمات يمكن أن تحدث أسرع مما يمكن للمسؤولين الاستجابة يدويًا. بالنسبة لمسارات الوصول المكشوفة، يجب على فرق تكنولوجيا المعلومات أيضًا مراجعة العملية. حماية القوة الغاشمة التحكمات مثل MFA، قيود IP، NLA، TLS والكشف في الوقت الحقيقي.

تعتبر حماية ransomware أيضًا جزءًا من استراتيجية الوصول عن بُعد. تركز إرشادات CISA بشأن ransomware على تقليل احتمالية وتأثير حوادث ransomware، وهو ما يرتبط مباشرةً عندما تتصل التطبيقات الخاصة بالملفات المشتركة أو البيانات التشغيلية.

يجب أن تنتج الوصول عبر المتصفح، والوصول عبر البوابة، والوصول عبر RDP جميعها أحداثًا يمكن للمسؤولين مراجعتها. الرؤية ضرورية للاستجابة السريعة وتعزيز الأمان على المدى الطويل.

ما هي قائمة التحقق للتنفيذ للشركات الصغيرة والمتوسطة؟

قبل نشر التطبيقات الخاصة عبر متصفح، يجب على فرق تكنولوجيا المعلومات تأكيد الضوابط التالية. تساعد هذه القائمة في تقليل التعرض، وتحديد أذونات المستخدمين، وحماية خوادم ويندوز خلف الوصول عن بُعد.

حدد المستخدمين والوصول إلى التطبيقات

ابدأ بتحديد من يحتاج إلى الوصول عن بُعد ولماذا. أنشئ مجموعات مستخدمين للموظفين والمقاولين والمديرين والشركاء الخارجيين، ثم قم بتعيين كل مجموعة للتطبيقات المطلوبة لدورهم.

انشر فقط التطبيقات أو أجهزة الكمبيوتر المكتبية التي تحتاجها كل مجموعة. تجنب منح المستخدمين الوصول الكامل إلى سطح المكتب عندما يكون تطبيق الأعمال الواحد كافيًا.

تعزيز المصادقة

يتطلب المصادقة متعددة العوامل للمستخدمين عن بُعد، والمستخدمين الخارجيين، والمديرين. تقلل MFA من خطر أن يصبح كلمة مرور مسروقة أو مخمّنة اختراقًا ناجحًا.

حيث يتم استخدام بروتوكول سطح المكتب البعيد، قم بتمكين مصادقة مستوى الشبكة. تساعد NLA في التحقق من هوية المستخدمين قبل إنشاء جلسة بعيدة كاملة.

تقليل التعرض للإنترنت

تجنب تعريض RDP مباشرةً للإنترنت. استخدم نقاط وصول مسيطر عليها، أو بوابات، أو نماذج وصول ويب آمنة تتضمن المصادقة، والتصفية، والمراقبة.

راجع المنافذ والخدمات المكشوفة بانتظام. قم بإزالة الوصول العام الذي لم يعد مطلوبًا.

تقييد الوصول حسب السياق

تقييد الوصول عن بُعد حسب الدولة، وعنوان IP الموثوق، وساعات العمل. تساعد هذه الضوابط في حظر الاتصالات التي لا تتوافق مع النشاط التجاري العادي.

على سبيل المثال، يجب ألا يتمكن المقاول الذي يعمل خلال ساعات العمل من الاتصال في وقت متأخر من الليل أو من مناطق غير متوقعة.

تطبيق أقل امتياز

راجع أذونات نظام الملفات والطابعة والسجل والحافظة. يجب أن يكون لدى المستخدمين الحقوق اللازمة فقط لإكمال عملهم.

تحديد أقل الامتيازات يحد من الأضرار التي تسببها الحسابات المخترقة أو البرامج الضارة أو أخطاء المستخدمين.

تمكين حماية التهديدات التلقائية

قم بتمكين حماية ضد هجمات القوة الغاشمة وحظر IP تلقائي. يجب أن تؤدي محاولات تسجيل الدخول الفاشلة المتكررة إلى اتخاذ إجراء دفاعي سريع دون انتظار التدخل اليدوي.

قم بتمكين حماية من برامج الفدية على الخوادم التي تستضيف تطبيقات الأعمال والبيانات. يجب أن تحمي أمان الوصول عن بُعد كل من نقطة تسجيل الدخول وبيئة الخادم خلفها.

راجع الأحداث بانتظام

راجع السجلات والتنبيهات وعناوين IP المحجوبة وأحداث برامج الفدية وفق جدول زمني منتظم. تساعد رؤية الأمان فرق تكنولوجيا المعلومات على اكتشاف السلوك المشبوه وتحسين سياسات الوصول مع مرور الوقت.

تُسجل التغييرات في الوثيقة بعد كل مراجعة. هذا يحافظ على توافق ضوابط الوصول عن بُعد مع المستخدمين والمقاولين واحتياجات العمل.

الوصول الآمن للمتصفح مقابل VPN و VDI و ZTNA - جدول المقارنة

VPN، بنية سطح المكتب الافتراضية، أو VDI، الوصول إلى الشبكة ذات الثقة الصفرية، أو ZTNA، والوصول الآمن إلى المتصفح تحل المشكلات ذات الصلة بطرق مختلفة.

نهج أفضل ملاءمة الخطر الرئيسي اعتبار SMB
VPN المستخدمون الذين يحتاجون إلى وصول واسع إلى الشبكة رؤية الشبكة أكثر مما هو مطلوب يمكن أن يزيد من تعقيد الدعم والنقاط النهائية
VDI بيئات سطح المكتب المركزية تكلفة وإدارة الأعباء قوي، ولكنه غالبًا ما يكون ثقيلاً للوصول إلى التطبيقات البسيطة
ZTNA الوصول الدقيق إلى الموارد الخاصة تعقيد الهندسة والترخيص نموذج قوي، لكنه قد يكون معقدًا للفرق الصغيرة
الوصول الآمن عبر المتصفح المستخدمون الذين يحتاجون إلى تطبيقات خاصة معينة بوابة مكشوفة إذا لم تكن محمية عملي عند اقترانه بأمان خادم قوي

تعتبر الشبكات الافتراضية الخاصة (VPNs) مفيدة عندما يحتاج المستخدم حقًا إلى الوصول إلى الشبكة. تعتبر البنية التحتية لسطح المكتب الافتراضي (VDI) مفيدة عندما ترغب المنظمة في مركزية أجهزة الكمبيوتر المكتبية بالكامل. تعتبر الشبكة الموثوقة من خلال الهوية (ZTNA) مفيدة عندما تكون المنظمة مستعدة لبناء وصول قائم على الهوية بشكل دقيق عبر العديد من الموارد الخاصة.

يعد الوصول الآمن عبر المتصفح غالبًا الخيار الأخف للشركات الصغيرة والمتوسطة. يقوم المستخدمون بفتح متصفح، والمصادقة، والوصول إلى التطبيقات المخصصة. يصبح النموذج آمنًا عندما تكون بنية الاستضافة محمية ضد التهديدات الشائعة للوصول عن بُعد.

كيف يساعد TSplus في تأمين الوصول إلى التطبيقات الخاصة عبر المتصفح

TSplus الأمان المتقدم يحمي خوادم Windows والجلسات خلف الوصول عن بُعد إلى التطبيقات الخاصة. يساعد في تقليل مخاطر التعرض الشائعة مثل محاولات تسجيل الدخول بالقوة الغاشمة، والاتصالات الجغرافية غير المرغوب فيها، والوصول خارج الساعات المعتمدة، والصلاحيات المفرطة وسلوك برامج الفدية.

يمكن للمسؤولين استخدام حماية ضد هجمات القوة الغاشمة، الحماية الجغرافية، ساعات العمل، الأذونات، حماية ضد برامج الفدية، جدار الحماية، التنبيهات والتقارير لتأمين الوصول إلى التطبيقات الخاصة المستندة إلى المتصفح. معًا، تساعد هذه الضوابط في تحديد من يتصل، ومتى يُسمح بالوصول، وأي التهديدات يتم حظرها.

الختام

يمكن أن يقلل الوصول الآمن إلى المتصفحات للتطبيقات الخاصة من الاعتماد على VPN ويحد من تعرض الشبكة عندما تكون الحماية من جانب الخادم قوية. تساعد TSplus الشركات الصغيرة والمتوسطة في التحكم في من يتصل، وتقييد المواقع والساعات المهددة، وحظر محاولات القوة الغاشمة، وإدارة الأذونات، وإيقاف سلوك برامج الفدية، بحيث تظل التطبيقات الخاصة متاحة للمستخدمين المصرح لهم دون ترك بنية Windows التحتية معرضة بشكل غير ضروري خلال العمليات التجارية اليومية.

مشاركة:

فيسبوك تويتر لينكدإن

فريق TSplus الخاص بك

المزيد من القراءة

back to top of the page icon