)
)
Сигурната свързаност на отдалечени обекти започва с реалното изискване за достъп на всеки клон, склад, клиника, търговски обект, ферма, индустриален обект или управлявано местоположение на клиент. Тук я центрираме около четири практични нужди: свързаност между мрежи, достъп на потребители до мрежата, достъп на администратори/сървъри и достъп само до приложения или с минимални права.
Тази преосмисляне променя обхвата на сигурния протокол за отдалечен достъп за клонови ситуации в източник на практически решения, които можете да повторно използвате. Ние дори го прилагаме в няколко специфични случая. Ще завършим, като покажем ролите, които TSplus Advanced Security играе в защитата на разпределени среди за отдалечен достъп.
Защо решенията за сигурна свързаност на отдалечени сайтове често се провалят?
Започвайки с технология вместо обхват на достъпа
Много проекти за отдалечен достъп започват с познат инструмент вместо с определен случай на употреба. Отваря се втори офис, нов склад започва работа или MSP интегрира клиентски сайт, а първата реакция често е да се разшири широката свързаност. Този подход може да работи, но също така може да предостави на отдалечен сайт много по-голям обхват, отколкото всъщност може да е необходим.
Защо едно „отдалечено място“ не е равно на един „модел на достъп“?
Това е дизайнерска грешка. Всички отдалечени сайтове не са една единствена техническа категория. Един сайт се нуждае от споделена инфраструктура и постоянна свързаност с бизнес ресурси. Друг се нуждае само от няколко потребители, за да достигнат до вътрешни ресурси. Трети основно се нуждае от ИТ администрация. Четвърти се нуждае от едно публикувано приложение и нищо друго. Обработването на всичките четири случая по един и същи начин създава ненужна доверие, повече експозиция и повече разходи за сигурност.
Насоките на NIST относно отдалечения достъп правят същата точка по по-формален начин: отдалеченият достъп трябва да бъде проектиран така, че да запази сигурността, като същевременно ограничи ненужното излагане. С други думи, правилният първи въпрос не е "Кой метод на свързване вече знаем?", а "Какво точно трябва да достигне този сайт, потребител или администратор?"
Кои 4 сигурни модела за отдалечена свързаност са най-важни?
За повечето клонови офиси и вторични обекти, отдалечената свързаност попада в четири практически модела.
Свързаност между мрежи
Първият е достъп от мрежа до мрежа Това е правилният ментален модел, когато отдалеченият сайт сам трябва да се държи като част от по-широката организация. Локалната инфраструктура, системите на сайта, споделените ресурси и централните услуги трябва да работят заедно последователно.
Достъп от потребител до мрежа
Вторият обхваща потребителски мрежови връзки Тук сайтът не се нуждае от широко разширение, но определени хора имат нужда. Персоналът може да се нуждае от няколко вътрешни ресурса от отдалечен офис, работно пространство у дома, свързано с работния поток на клон, или докато се движи между местоположения.
Администраторски/сървърен достъп
Третите достъпи администратор/сървърни съоръжения Това е за ИТ операции. Основното изискване е контролирана поддръжка, помощ, отстраняване на проблеми и администриране на сървъри, а не широко достигане до крайни потребители.
Достъп само до приложението или с минимални права
Четвъртият е достъп само до приложението или с най-малко права Този модел е най-подходящ, когато потребителите, изпълнителите или доставчиците се нуждаят само от конкретно приложение или тясно определен ресурс. Той е в тясна връзка с нашето предпочитание за Zero Trust. В общи линии, подчертаваме важността на проверката на потребителя, устройството и сесията, вместо да се доверяваме на пътя само защото съществува.
Случай на употреба 1: Кога наистина е необходимо сигурно свързване между мрежи за отдалечен сайт?
Къде този модел пасва и къде става твърде широк
Някои сайтове наистина се нуждаят от широка свързаност. Склад може да разчита на централен ERP, докато също така използва локални принтери, скенери и оперативни устройства. Търговски клон може да се нуждае от няколко системи за задния офис, свързани с централни услуги. Индустриален или селскостопански обект може да зависи от локални активи, които трябва да останат синхронизирани с основните системи.
В тези случаи широката свързаност на сайта може да бъде оправдана, тъй като самият сайт е част от оперативната среда. Ключът е да се признае, че това е най-тежкият модел на достъп. Той създава най-широкото доверително отношение, така че трябва да се запази за случаи, в които по-тесен дизайн би нарушил работния процес.
Приоритети за сигурност за разширена свързаност на сайта
Това е също така мястото, където дисциплината по сигурността е най-важна. След като сайтът е широко свързан, сегментацията, логването, политиката на защитната стена и ограниченията за достъп стават съществени. TSplus Advanced Security е уместен тук не защото създава свързаност, а защото помага за защита на откритите пътища за достъп и чувствителната инфраструктура на Windows с функции като Защитна стена, Защита от IP адреси на хакери, Географска защита, Защита от брутфорс, Сигурни сесии и Разрешения.
Добро правило е просто: ако потребителите на отдалеченото място наистина се нуждаят само от едно или две приложения, не се доверявайте по подразбиране на пълно доверие за целия сайт. Обикновено това е твърде много проектиране за твърде малка нужда.
Случай на употреба 2: Кога е наистина необходим сигурен достъп на потребителя до мрежата?
Типични сценарии за работа в клон и хибридна работа
Понякога клонът или вторичното местоположение изобщо не се нуждаят от широко разширение. Вместо това, малко на брой служители се нуждаят от достъп до множество вътрешни ресурси. Това е различен проблем. Това е отдалечен достъп на ниво потребител, а не на ниво сайт.
Този модел е често срещан в хибридни операции. Регионален мениджър, ръководител на финансите или малък административен екип може да се нуждае от няколко вътрешни инструмента от сателитен офис. Правилният дизайн тук се определя от индивидуалната идентичност, устройство, сесия и политика, а не от третирането на целия сайт като доверено разширение.
Където потребителски специфичен е по-добър от разширение за целия сайт
Тази разлика е важна, защото достъпът от потребител към мрежата все още може да стане твърде широк. Ако на потребителя наистина му е необходим само едно приложение, предоставянето на широк вътрешен достъп увеличава риска, без да добавя стойност. Ние сме твърди защитници на намаляването на експозицията и прилагането на минимални права, където е възможно, особено за малки и средни предприятия и разпределени среди.
Приоритети за сигурност за отдалечен достъп на ниво потребител
TSplus Advanced Security поддържа този модел, като добавя контроли относно това, кой може да се свърже, откъде и при какви условия. Географската защита може да ограничи достъпа до частни и одобрени IP адреси или избрани региони. Защитата от брутфорс може автоматично да блокира нарушаващите IP адреси след повторни неуспешни входове. Това помага да се преобразува широкият проблем с "отдалечените потребители" в по-контролируем достъп, основан на политика.
Случай на употреба 3: Кога е действителната нужда от сигурен достъп до администратор или сървър?
Типични сценарии за ИТ и MSP
Голяма част от така наречените проекти за свързаност на отдалечени сайтове всъщност са проекти за ИТ администриране. MSP трябва да поддържа клиентски сървър. Вътрешен администратор трябва да актуализира отдалечен хост. Техник от помощния център трябва да отстрани проблеми в среда на Windows сесия. Нито едно от тези неща не изисква предоставяне на обикновени потребители или на целия сайт на същото ниво на достъп.
Защо администраторският достъп трябва да остане отделен от достъпа на обикновените потребители
Администраторският достъп трябва да се третира като собствена категория, тъй като по природа е привилегирован. Най-сигурният дизайн обикновено е този, който отделя администраторския трафик от обикновените работни потоци на потребителите, ограничава от къде администраторите могат да се свързват и укрепва входния път много по-агресивно от стандартния потребителски канал.
Умело проектирани функции за сигурност за оптимална защита
Това е едно от най-силните предимства на нашия софтуер за Advanced Security и неговите функции. Защитата от брутфорс е специално проектирана да следи неуспешните опити за вход в Windows и да блокира атакуващите IP адреси. Неговият защитен екран, разрешения, сигурни сесии и отчети са директно полезни, когато целта е публично достъпен Windows сървър или път за дистанционно администриране.
Приоритети за сигурност за привилегирован отдалечен достъп
Това е също така мястото, където не всички функции на нашите продукти се прилагат по един и същи начин. Например, Trusted Devices работи с връзки от TSplus Remote Access Web Portal. Всъщност ще откриете, че нашата документация отбелязва, че Web Portal е несъвместим с HTML5 сесии или устройства с iOS и Android, които скриват имена на хостове. Това е важно при планирането на прилагането на доверие в устройствата за администраторски работни потоци.
Имате ли проблеми с RDP или осигурявате ли администраторски входни точки в клонови и вторични сайтове? Знаехте ли? Попитайте ни и заедно ще насрочим демонстрация на TSplus Advanced Security.
Случай на употреба 4: Кога е достъпът само до приложението или с най-малко права по-добрият отговор?
Типични сценарии за клонове, доставчици и задачи
Това често е най-чистият модел и този, който много среди пренебрегват. Ако служител на клон само се нуждае от ERP екран, система за планиране, счетоводен инструмент или друго публикувано Windows приложение, широкият отдалечен достъп често е ненужен. Правилният отговор не е "повече мрежа". Той е "по-малко достъп, предоставен по-добре."
Защо ограничен достъп намалява риска
Това е мястото, където друг продукт от нашия пакет става изключително важен. TSplus Remote Access поддържа сигурен уеб портал и публикуване на приложения, което позволява на потребителите да достигат до контролирано приложение или работен плот без да отварят по-широката среда. Независимо от самия инструмент за доставка, достъпът само до приложения е правилният дизайнерски избор за този сценарий.
Приоритети за сигурност за публикуван и ограничен достъп
TSplus Advanced Security остава централно, защото дори по-тесен модел на достъп все още се нуждае от защита. Сървърите на приложения, достъпни за обществеността, и уеб пътищата за достъп все още са повърхности за атака. Прочетете нашата статия за сигурен уеб шлюз за повече информация относно защитата от брутфорс и географското IP филтриране. Те са особено важни за изложените RDP и уеб портал услуги и точно такъв вид укрепване е необходимо за доставката на приложения, ориентирана към клонове.
Достъп с най-малко права е също правилният модел за доставчици, изпълнители и временно партньори. Ако трета страна се нуждае от един вътрешен инструмент, един интерфейс за поддръжка или един временно ограничен работен процес, предоставянето на по-широк достъп от това не е удобство. Това е прекомерно излагане.
Как можете да изберете най-сигурния модел за всеки отдалечен сайт?
Практическата рамка за вземане на решения започва с четири въпроса.
Първо, какво трябва да бъде постигнато?
Ако отговорът е „споделена инфраструктура на сайта и множество вътрешни системи“, свързаността между мрежите може да бъде оправдана. Ако отговорът е „няколко вътрешни ресурса за избрани потребители“, достъпът от потребител към мрежата е по-близо. Ако отговорът е „управление и поддръжка на сървъри“, това е проблем с администраторския достъп. Ако отговорът е „едно приложение или една задача“, достъпът само до приложението или с минимални права трябва да води дизайна.
Второ, кой има нужда от достъп?
Цял клон на офис, малка потребителска група, ИТ екип и външен доставчик не трябва да наследяват същия модел на доверие.
Трето, колко излагане е приемливо?
Колкото по-широк е обхватът, толкова по-силни трябва да бъдат компенсиращите контроли. Собственото позициониране на сигурността на TSplus последователно предпочита намалена експозиция, по-силна идентичност, прилагане на политики и мониторинг пред широкото доверие по подразбиране.
Четвърто, какво натоварване от поддръжка може всъщност да понесе средата?
Малки ИТ екипи и MSPs се нуждаят от дизайни, които са сигурни, но управляеми. Това е една от причините TSplus да позиционира Advanced Security около практична защита без ненужна сложност.
Къде е най-подходящото място за TSplus Advanced Security?
Защита на откритите пътища за достъп
TSplus Advanced Security е основен за осигуряване на избрания от вас модел на отдалечен сайт с неговите функции:
Защита на IP адреси от хакери,
Географска защита,
Защита от брутфорс
Ограничаване на работното време,
Файъруол
Предупреждения,
Доклади,
Защита от зловреден софтуер,
Разрешения,
Сигурни сесии
и доверени устройства.
Прилагане на политика с гео, IP и контрол на сесиите
Този 360 инструмент е създаден да защитава разпределени Windows-базирани среди с открити пътища за отдалечен достъп. Неговата документация за бързо стартиране поставя Защита от рансъмуер, Защита от брутфорс и Географска защита в центъра на началната настройка, което отразява практическата насоченост на продукта към укрепване. За клонови и вторични обекти, тази комбинация е полезна, тъй като основните рискове често са повтарящи се атаки при влизане, прекалено широк достъп до източници, злоупотреба със сесии и бизнес въздействието на разпространение на рансъмуер през достъпни системи.
Укрепване на разпределени среди срещу рансъмуер и злоупотреби
Защита от зловреден софтуер е особено важна в разпределени среди. Тя открива, блокира и предотвратява зловреден софтуер, използвайки както статичен, така и поведенчески анализ, и може да реагира веднага щом открие зловреден софтуер в сесия. Това е ценно, когато компрометирана крайна точка, отдалечен потребител или работен поток на клон стане опорна точка за централни системи.
Примери за отдалечени сайтове в реалния свят
A търговски клон често отговаря на модела само за приложения. Персоналът обикновено се нуждае от ограничен набор от инструменти за бизнес операции, а не от широко мрежово покритие. По-безопасният дизайн често е публикуван достъп плюс укрепени входни точки.
A склад или индустриален обект по-вероятно е да оправдае широка свързаност, тъй като локалните устройства и централните системи се нуждаят от непрекъсната координация. Дори тогава, администраторският достъп трябва да остане отделен и стриктно контролиран.
A сателитен здравен офис обикновено изисква по-силно ограничаване. Различните роли изискват различни системи, а широкият достъп може да създаде както проблеми със сигурността, така и с комплайънса. Достъпът на ниво потребител или приложение често е по-добра отправна точка от общата свързаност.
Ан Управляван от MSP клиентски сайт обикновено е проблем с достъпа на администратор/сървър. Доставчикът се нуждае от сигурен, одитируем път за поддръжка, а не от неограничено широко доверие в цялата клиентска среда.
В заключение: Започнете с обхвата на достъпа, след това го защитете правилно
Свързаността на отдалечените сайтове не е един проблем с един отговор. Някои сайтове се нуждаят от широка свързаност. Някои се нуждаят от достъп за избрани потребители. Някои се нуждаят от привилегировани администраторски пътища. Някои само се нуждаят от едно публикувано приложение или стриктно определен работен процес.
Затова най-добрият въпрос за сигурен дизайн не е „Кой сигурен протокол за отдалечен достъп звучи най-силно?“, а „Какъв е най-малкият практичен модел за достъп, който все още позволява на този отдалечен сайт да функционира?“ След като това бъде отговорено, сигурността става по-ясна и по-лесна за поддържане.
TSplus Advanced Security пасва добре на тази стратегия. Той не ви кара да се доверявате на всеки отдалечен сайт в еднаква степен. Помага ви да укрепите избрания път с релевантни, подходящи и добре насочени мерки за защита за разпределените среди, които са най-важни за вашето използване.
Често задавани въпроси
1. Какъв е най-добрият начин да се осигурят дистанционни връзки за отдалечен сайт?
Най-добрият начин е да се съобразите с модела на достъп с реалната нужда. Някои отдалечени сайтове се нуждаят от широка свързаност, но много от тях се нуждаят само от достъп на ниво потребител, на ниво администратор или само до приложения. Сигурността се подобрява, когато обхватът на достъпа се намали преди добавянето на контроли.
2. Нуждае ли се всяко клоново офис от пълна свързаност между мрежите?
Не. Много клонове се нуждаят само от няколко вътрешни приложения или контролирана администраторска пътека. Разширяването на широкото доверие към целия сайт би увеличило риска и сложността, без да подобри резултата за потребителя.
3. Кога достъпът на потребителя до мрежата е по-добър от пълната свързаност на сайта?
По-добре е, когато избрани потребители се нуждаят от няколко вътрешни ресурса, но самият сайт не трябва да функционира като пълно разширение на мрежата. Това поддържа доверието по-близо свързано с идентичността и политиката.
4. Кога достъпът само до приложението е по-добрият избор?
Достъп само до приложения често е най-добрият вариант, когато потребителите се нуждаят от едно или няколко бизнес приложения, а не от широко мрежово покритие. Това намалява прекомерното излагане и по-добре се съобразява с дизайна на минимални права.
5. Как TSplus Advanced Security помага за защита на достъпа до отдалечени сайтове?
TSplus Advanced Security добавя контроли като Географска защита, Защита от брутфорс, Защитна стена, Разрешения, Сигурни сесии, Доверени устройства и Защита от рансъмуер, за да помогне за укрепване на пътищата за отдалечен достъп и разпределените Windows среди.
)
)
)
