)
)
Въведение
Сигурният браузърен достъп до частни приложения позволява на служителите, изпълнителите и партньорите да достигат до бизнес приложения от всякъде, без да отварят цялата мрежа. За ИТ екипите на малки и средни предприятия предизвикателството е да се балансира удобството с защитата. Тази статия обяснява как да се намали рискът от отдалечен достъп чрез минимални права, по-силна автентикация и контролирани правила за свързване.
Какво е сигурен браузър достъп до частни приложения?
Сигурният браузърски достъп до частни приложения позволява на упълномощените потребители да отварят вътрешни бизнес приложения чрез уеб браузър. Вместо да се свързват с цялата мрежа чрез виртуална частна мрежа, или VPN, потребителите достигат само до приложенията, които са им назначени.
Частно приложение може да бъде система за планиране на ресурси в предприятието, счетоводен софтуер, база данни на клиенти, вътрешен портал, администраторска конзола, наследствено Windows приложение или Протокол за отдалечен работен плот RDP, приложение. Приложението е частно, тъй като не трябва да бъде директно достъпно в публичния интернет.
Принципът на сигурността е прост: достъпът през браузър трябва да предоставя приложението, а не цялата мрежа. Това подкрепя минималните права, при които потребителите получават достъпа, необходим за тяхната роля, и нищо повече.
Сигурният браузърен достъп трябва също да защитава това, което стои зад страницата за вход. Windows сесиите, файловете, удостоверенията и бизнес приложенията остават ценни цели, така че сървърната среда се нуждае от контрол на сигурността, надхвърлящ простата автентикация.
Защо достъпът само чрез VPN може да създаде ненужен риск?
VPN-ите остават полезни за администратори и технически потребители, които се нуждаят от широк достъп на ниво мрежа. VPN създава криптиран тунел в частна мрежа и може да бъде ефективен, когато е правилно конфигуриран.
Въпреки това, достъпът само чрез VPN може да бъде прекомерен, когато потребителят се нуждае от едно приложение или малка група бизнес ресурси. В този случай VPN може да увеличи видимостта на мрежата, работата по поддръжка на крайни точки и възможното въздействие на компрометирана сметка.
NIST SP 800-46 Rev. 2 обяснява, че програмите за сигурност на отдалечен достъп трябва да вземат предвид сценарии за дистанционна работа, отдалечен достъп и използване на собствени устройства, включително политики за сигурност и технологични контроли. Това е важно, защото достъпът до частни приложения често включва външни потребители, неуправляеми устройства и връзки от мрежи извън контрола на организацията.
За малки и средни предприятия, сложността на VPN може да се превърне в ежедневен оперативен проблем. Подизпълнителите може да се нуждаят от временно достъп. Потребителите може да работят от лични устройства. ИТ екипите може да прекарват твърде много време в управление на клиенти вместо да намаляват риска.
Сигурният браузърен достъп до частни приложения предлага по-фокусиран модел. Организацията публикува специфични приложения, контролира кой може да се свърже и защитава инфраструктурата, в която тези приложения работят.
Какво прави достъпа през браузър сигурен?
Достъпът през браузър не е автоматично сигурен. Уеб портал, страница за вход или публикувано приложение все още могат да бъдат атакувани, ако са изложени без силни контроли.
Сигурният достъп до браузъра зависи от три слоя: идентичност, обхват на приложението и защита на инфраструктурата. Всеки слой намалява различна част от риска при отдалечен достъп.
Идентичност и удостоверяване
Контролите за идентичност определят кой има право да се свързва. Организациите трябва да използват строги политики за пароли, многофакторна автентикация или MFA, и правила за заключване на акаунти за изложени точки на достъп.
За среди, базирани на RDP, удостоверяването на ниво мрежа, или NLA, също е важно. NLA удостоверява потребителите преди да бъде установена пълна RDP сесия, което помага за намаляване на ненужното излагане на ресурсите на сървъра.
Контрол на достъпа на ниво приложение
Контролът на достъпа на ниво приложение определя до какво може да достигне всеки потребител след удостоверяване. Това е разликата между "потребителят може да отвори приложението за счетоводство" и "потребителят може да преглежда сървъра."
Сигурният браузърен достъп трябва да присвоява приложения по потребител или група. Финансовите екипи, външните счетоводители, изпълнителите и администраторите не трябва да получават същия достъп по подразбиране. Това подкрепя практическото Нулева доверчивост за отдалечен достъп на МСП модел, при който всеки потребител, устройство и сесия се проверяват преди да бъде разрешен достъп.
Защита на сървъри и данни
Сигурният достъп до браузъра следователно трябва да включва напреднала сигурност контроли като защита от брутфорс, географско филтриране, ограничения на работното време, контрол на разрешенията, защита от рансъмуер, известия и защитни журнали. Без тези слоеве браузърът просто става още една изложена повърхност за отдалечен достъп.
Сигурният достъп до браузъра следователно трябва да включва защита от брутфорс, географско филтриране, ограничения на работното време, контрол на разрешенията, защита от рансъмуер, известия и защитни журнали. Без тези слоеве браузърът просто става още една изложена повърхност за отдалечен достъп.
Какви са най-добрите практики за сигурен достъп до частни приложения чрез браузър?
Стратегията за сигурен достъп до браузъра трябва да намали излагането преди, по време и след всяка връзка. Следните практики помагат на ИТ екипите да защитят частни приложения, без да създават ненужна сложност.
Публикувайте само приложенията, от които потребителите се нуждаят
Публикуването на приложения трябва да започне с картографиране на ролите. Всеки потребител или група трябва да получи достъп само до приложенията, необходими за ежедневната работа.
Например, външен счетоводител може да се нуждае от счетоводна програма, но не и от пълен десктоп. Подизпълнител на поддръжка може да се нуждае от една конзола за администриране, но не и от достъп до файлов сървър.
Тази обхватна стратегия намалява потенциалните щети от откраднати удостоверения или злоупотреба с сесии. Дори когато акаунтът е компрометиран, нападателят има по-малко системи, до които да достигне.
Избягвайте да излагате RDP и дистанционни услуги директно
Директно изложените отдалечени услуги привлекат скенери, инструменти за брутфорс и атаки с удостоверения. RDP не трябва да остава отворен за интернет без допълнителна защита.
Microsoft Learn описва Remote Desktop Gateway, или RD Gateway, като начин за потребителите да се свързват с вътрешни мрежови ресурси сигурно от външната страна на корпоративната защитна стена. Този модел, базиран на шлюз, помага да се избегне неконтролираният директен достъп до вътрешни системи.
Дори когато организацията използва уеб портал или шлюз, администраторите все още трябва да намалят откритите портове, да укрепят удостоверяването и да наблюдават поведението при влизане. Сигурността на отдалечения достъп зависи от цялата верига, а не само от екрана за първо влизане.
Прилагане на MFA, NLA и политики за силни пароли
Паролите сами по себе си не са достатъчни за отдалечен достъп. Повторно използваните пароли, фишингът и натрупването на идентификационни данни правят изложените страници за вход честа цел.
MFA добавя втора стъпка за проверка. NLA помага за защита на RDP среди, като удостоверява потребителите преди да бъде установена пълна дистанционна сесия. Строги правила за паролите и политики за заключване на акаунти намаляват шанса автоматизираното познаване да успее.
Администраторските акаунти се нуждаят от по-строги контролни мерки. Административният достъп трябва да използва MFA, ограничени източници на местоположение, специализирани удостоверения и по-близко наблюдение.
Ограничаване на достъпа по държава, IP адрес и работно време
Не всяка организация трябва да приема дистанционни връзки от всяко местоположение. Географските ограничения и списъците с разрешени IP намаляват ненужното излагане.
Например, малък и среден бизнес, който оперира само във Франция, Испания и Германия, може да блокира опити за вход от други държави. Управляващ доставчик на услуги може да ограничи достъпа на администратори до доверени офис IP адреси.
Ограниченията на работното време добавят още един полезен слой. Ако изпълнителите работят от понеделник до петък, от 08:00 до 18:00, техните сесии не трябва да остават налични в 02:00 в неделя.
Приложете принципа на най-малките права към файлове, принтери и системни ресурси
Достъпът до приложения не означава автоматично безопасен достъп. След като се отвори сесия, потребителите все още могат да взаимодействат с локални дискове, принтери, ключове в регистъра или папки.
Администраторите трябва да прегледат правата на файловата система, достъпа до принтера, поведението на клипборда и системните настройки. Потребител, който се нуждае от едно частно приложение, не трябва да получава широки разрешения за сървъра.
Най-малките привилегии ограничават обхвата на компрометирания акаунт. Те също така намаляват вероятността потребителска грешка или зловреден софтуер да повлияят на несвързани ресурси.
Наблюдавайте неуспешни входове и поведение на рансъмуер
Повторните неуспешни входове могат да показват активност на брутфорс, натъпкване на удостоверения или неправилно конфигурирани скриптове. Автоматизираното блокиране е полезно, тъй като атаките могат да се случат по-бързо, отколкото администраторите могат да реагират ръчно. За изложените пътища за достъп, ИТ екипите също трябва да прегледат практическите. защита срещу брутална сила контроли като MFA, IP ограничения, NLA, TLS и откриване в реално време.
Защитата от рансъмуер също принадлежи към стратегията за дистанционен достъп. Насоките на CISA за рансъмуер се фокусират върху намаляване на вероятността и въздействието на инциденти с рансъмуер, което е пряко свързано, когато частни приложения се свързват с общи файлове или оперативни данни.
Достъпът до браузъра, достъпът до шлюза и достъпът до RDP трябва да генерират събития, които администраторите могат да преглеждат. Видимостта е от съществено значение за бърз отговор и дългосрочно укрепване.
Какво е контролният списък за внедряване за МСП?
Преди публикуването на частни приложения чрез браузър, ИТ екипите трябва да потвърдят следните контроли. Този списък помага за намаляване на експозицията, ограничаване на потребителските права и защита на Windows сървърите зад отдалечен достъп.
Определете потребители и достъп до приложения
Започнете, като идентифицирате кой има нужда от отдалечен достъп и защо. Създайте потребителски групи за служители, изпълнители, администратори и външни партньори, след което свържете всяка група с приложенията, необходими за тяхната роля.
Публикувайте само приложенията или работните станции, от които всяка група се нуждае. Избягвайте да давате на потребителите пълен достъп до работния плот, когато едно бизнес приложение е достатъчно.
Укрепване на удостоверяването
Изисквайте многофакторна автентикация за отдалечени потребители, външни потребители и администратори. MFA намалява риска, че открадната или позната парола ще стане успешен компромис.
Където се използва протоколът за отдалечен работен плот, активирайте удостоверяване на ниво мрежа. NLA помага за удостоверяване на потребителите преди установяването на пълна отдалечена сесия.
Намалете интернет експозицията
Избягвайте да излагате RDP директно на интернет. Използвайте контролирани точки за достъп, шлюзове или сигурни уеб модели за достъп, които включват удостоверяване, филтриране и мониторинг.
Преглеждайте откритите портове и услуги редовно. Премахнете публичния достъп, който вече не е необходим.
Ограничаване на достъпа по контекст
Ограничете отдалечения достъп по държава, доверен IP адрес и работно време. Тези контроли помагат да се блокират връзки, които не съответстват на нормалната бизнес дейност.
Например, изпълнител, който работи по време на работно време, не трябва да може да се свързва късно през нощта или от неочаквани региони.
Приложете принципа на най-малките права
Прегледайте разрешения за файловата система, принтера, регистъра и клипборда. Потребителите трябва да имат само правата, необходими за завършване на работата си.
Най-малките привилегии ограничават щетите, причинени от компрометирани акаунти, зловреден софтуер или грешки на потребителите.
Активирайте автоматизирана защита от заплахи
Активирайте защита от брутфорс атаки и автоматично блокиране на IP адреси. Повторните неуспешни опити за вход трябва да задействат бързо защитно действие без да се чака ръчна намеса.
Активирайте защита от ransomware на сървъри, хостващи бизнес приложения и данни. Сигурността на отдалечения достъп трябва да защитава както точката на вход, така и сървърната среда зад нея.
Редовно преглеждайте събитията
Преглеждайте журналите, известията, блокираните IP адреси и събитията с ransomware на редовна основа. Видимостта на сигурността помага на ИТ екипите да откриват подозрително поведение и да подобряват политиките за достъп с времето.
Документът променя след всяко преглеждане. Това поддържа контрола на отдалечения достъп в съответствие с потребителите, изпълнителите и бизнес нуждите.
Сигурен браузърен достъп срещу VPN, VDI и ZTNA – Сравнителна таблица
VPN, виртуална десктоп инфраструктура или VDI, достъп до мрежа с нулево доверие или ZTNA и сигурен браузър достъп решават свързани проблеми по различни начини.
| Подход | Най-добро съответствие | Основен риск | Съображение за SMB |
|---|---|---|---|
| VPN | Потребители, които се нуждаят от широк достъп до мрежата | Повече мрежова видимост, отколкото е необходимо | Може да увеличи сложността на поддръжката и крайни точки |
| VDI | Централизирани работни среди | Разходи и административни разходи | Мощен, но често тежък за прост достъп до приложения |
| ZTNA | Грануларен достъп до частни ресурси | Архитектура и сложност на лицензиране | Силен модел, но може да бъде сложен за по-малки екипи |
| Сигурен достъп до браузър | Потребители, които се нуждаят от специфични частни приложения | Изложен портал, ако не е защитен | Практично, когато е в комбинация с силна защита на сървъра |
VPN-ите са полезни, когато потребителят наистина се нуждае от достъп до мрежата. VDI е полезен, когато организацията иска да централизира пълни работни станции. ZTNA е полезен, когато организацията е готова да изгради детайлен достъп на базата на идентичност до много частни ресурси.
Сигурният браузърен достъп често е по-леката опция за малките и средни предприятия. Потребителите отварят браузър, удостоверяват се и достигат до зададените приложения. Моделът става сигурен, когато хостинг инфраструктурата е защитена срещу общи заплахи за отдалечен достъп.
Как TSplus помага за осигуряване на достъп до частни приложения чрез браузър
TSplus Advanced Security защитава Windows сървърите и сесиите зад отдалечен достъп до частни приложения. Помага за намаляване на общите рискове от излагане, като опити за влизане с груба сила, нежелани географски връзки, достъп извън одобрените часове, прекомерни разрешения и поведение на рансъмуер.
Администраторите могат да използват защита от брутфорс, географска защита, работно време, разрешения, защита от рансъмуер, защитна стена, известия и отчети, за да укрепят достъпа до частни приложения, базирани на браузър. Заедно, тези контроли помагат да се ограничи кой се свързва, кога е разрешен достъпът и кои заплахи са блокирани.
Заключение
Сигурният браузърен достъп до частни приложения може да намали зависимостта от VPN и да ограничи мрежовото излагане, когато защитата от страна на сървъра е силна. TSplus помага на малките и средни предприятия да контролират кой се свързва, да ограничават рискови местоположения и часове, да блокират опити за брутова атака, да управляват разрешения и да спират поведението на рансъмуер, така че частните приложения да остават достъпни за упълномощени потребители, без да оставят ненужно излагане на инфраструктурата на Windows по време на ежедневните бизнес операции.
)
)
)
