)
)
Úvod
Bezpečný přístup k soukromým aplikacím prostřednictvím prohlížeče umožňuje zaměstnancům, dodavatelům a partnerům přístup k obchodním aplikacím odkudkoli, aniž by bylo nutné otevřít celou síť. Pro IT týmy v malých a středních podnicích je výzvou vyvážit pohodlí s ochranou. Tento článek vysvětluje, jak snížit riziko vzdáleného přístupu prostřednictvím minimálních oprávnění, silnější autentizace a kontrolovaných pravidel připojení.
Co je zabezpečený přístup k soukromým aplikacím prostřednictvím prohlížeče?
Bezpečný přístup k soukromým aplikacím prostřednictvím prohlížeče umožňuje autorizovaným uživatelům otevírat interní obchodní aplikace prostřednictvím webového prohlížeče. Místo připojení k celé síti prostřednictvím virtuální privátní sítě, nebo VPN, uživatelé dosáhnou pouze aplikací, které jsou jim přiřazeny.
Soukromá aplikace může být systém pro plánování podnikových zdrojů, účetní software, databáze zákazníků, interní portál, administrační konzole, starší aplikace pro Windows nebo Protokol vzdálené plochy RDP, aplikace. Aplikace je soukromá, protože by neměla být přímo dostupná na veřejném internetu.
Bezpečnostní princip je jednoduchý: přístup přes prohlížeč by měl poskytovat aplikaci, nikoli celou síť. To podporuje minimální oprávnění, kde uživatelé dostávají přístup potřebný pro svou roli a nic víc.
Bezpečný přístup k prohlížeči musí také chránit to, co se nachází za přihlašovací stránkou. Windows relace, soubory, přihlašovací údaje a obchodní aplikace zůstávají cennými cíli, takže serverové prostředí potřebuje bezpečnostní opatření nad rámec jednoduché autentizace.
Proč může přístup pouze přes VPN vytvářet zbytečné riziko?
VPNy zůstávají užitečné pro administrátory a technické uživatele, kteří potřebují široký přístup na úrovni sítě. VPN vytváří šifrovaný tunel do soukromé sítě a může být účinná, když je správně nakonfigurována.
Nicméně, přístup pouze přes VPN může být nadměrný, když uživatel potřebuje jednu aplikaci nebo malou skupinu obchodních zdrojů. V takovém případě může VPN zvýšit viditelnost sítě, práci s podporou koncových bodů a možný dopad kompromitovaného účtu.
NIST SP 800-46 Rev. 2 vysvětluje, že programy zabezpečení vzdáleného přístupu by měly zohlednit scénáře teleworku, vzdáleného přístupu a používání vlastních zařízení, včetně bezpečnostní politiky a technologických kontrol. To je důležité, protože přístup k soukromým aplikacím často zahrnuje externí uživatele, neřízená zařízení a připojení z sítí mimo kontrolu organizace.
Pro malé a střední podniky může složitost VPN představovat každodenní provozní problém. Dodavatelé mohou potřebovat dočasný přístup. Uživatelé mohou pracovat z osobních zařízení. IT týmy mohou trávit příliš mnoho času správou klientů místo snižování rizika.
Bezpečný přístup k soukromým aplikacím prostřednictvím prohlížeče nabízí zaměřenější model. Organizace zveřejňuje konkrétní aplikace, kontroluje, kdo se může připojit, a chrání infrastrukturu, na které tyto aplikace běží.
Co dělá přístup přes prohlížeč bezpečným?
Přístup přes prohlížeč není automaticky bezpečný. Webový portál, přihlašovací stránka nebo publikovaná aplikace mohou být stále napadeny, pokud jsou vystaveny bez silných kontrol.
Bezpečný přístup k prohlížeči závisí na třech vrstvách: identitě, rozsahu aplikace a ochraně infrastruktury. Každá vrstva snižuje jinou část rizika vzdáleného přístupu.
Identita a autentizace
Identifikační kontroly rozhodují, kdo má povolení se připojit. Organizace by měly používat silné politiky hesel, vícefaktorovou autentizaci nebo MFA a pravidla pro zablokování účtů pro vystavené přístupové body.
Pro prostředí založená na RDP je také důležitá autentizace na úrovni sítě, nebo NLA. NLA autentizuje uživatele před tím, než je navázána plná RDP relace, což pomáhá snížit zbytečné vystavení serverových zdrojů.
Kontrola přístupu na úrovni aplikace
Kontrola přístupu na úrovni aplikace definuje, k čemu má každý uživatel přístup po autentizaci. To je rozdíl mezi „uživatel může otevřít účetní aplikaci“ a „uživatel může procházet server“.
Bezpečný přístup k prohlížeči by měl přiřazovat aplikace podle uživatele nebo skupiny. Finanční týmy, externí účetní, dodavatelé a administrátoři by neměli dostávat stejný přístup jako výchozí. To podporuje praktické Zero Trust pro vzdálený přístup SMB model, kde je každý uživatel, zařízení a relace ověřena před povolením přístupu.
Ochrana serveru a dat
Zabezpečený přístup k prohlížeči by měl proto zahrnovat pokročilá bezpečnost řízení, jako je obrana proti hrubé síle, geografické filtrování, omezení pracovní doby, kontrola oprávnění, ochrana proti ransomwaru, upozornění a bezpečnostní protokoly. Bez těchto vrstev se prohlížeč jednoduše stává dalším vystaveným povrchem pro vzdálený přístup.
Bezpečný přístup k prohlížeči by proto měl zahrnovat obranu proti hrubé síle, geografické filtrování, omezení pracovní doby, kontrolu oprávnění, ochranu proti ransomwaru, upozornění a bezpečnostní protokoly. Bez těchto vrstev se prohlížeč jednoduše stává dalším vystaveným povrchem pro vzdálený přístup.
Jaké jsou nejlepší postupy pro bezpečný přístup k soukromým aplikacím prostřednictvím prohlížeče?
Bezpečná strategie přístupu k prohlížeči by měla snížit vystavení před, během a po každém připojení. Následující postupy pomáhají IT týmům chránit soukromé aplikace, aniž by vytvářely zbytečnou složitost.
Publikujte pouze aplikace, které uživatelé potřebují
Publikování aplikací by mělo začít mapováním rolí. Každý uživatel nebo skupina by měli mít přístup pouze k aplikacím potřebným pro každodenní práci.
Například externí účetní může potřebovat účetní aplikaci, ale ne plnou pracovní plochu. Podpora dodavatel může potřebovat jednu administrační konzoli, ale ne přístup k souborovému serveru.
Toto vymezení snižuje potenciální škody způsobené odcizenými přihlašovacími údaji nebo zneužitím relace. I když je účet ohrožen, útočník má méně systémů, které může dosáhnout.
Vyhněte se přímému vystavení RDP a vzdálených služeb.
Přímo vystavené vzdálené služby přitahují skenery, nástroje pro hrubou sílu a útoky na přihlašovací údaje. RDP by nemělo být ponecháno otevřené na internetu bez další ochrany.
Microsoft Learn popisuje Remote Desktop Gateway, nebo RD Gateway, jako způsob, jak se uživatelé mohou bezpečně připojit k interním síťovým zdrojům zvenčí firewalu společnosti. Tento model založený na bráně pomáhá vyhnout se nekontrolovanému přímému přístupu k interním systémům.
I když organizace používá webový portál nebo bránu, správci by měli stále omezit vystavené porty, zpevnit autentizaci a monitorovat chování při přihlašování. Bezpečnost vzdáleného přístupu závisí na celé řetězci, nejen na první přihlašovací obrazovce.
Vynucení MFA, NLA a silných politik hesel
Hesla sama o sobě nestačí pro vzdálený přístup. Opakovaná hesla, phishing a naplnění přihlašovacích údajů činí vystavené přihlašovací stránky běžným cílem.
MFA přidává druhý ověřovací krok. NLA pomáhá chránit RDP prostředí tím, že autentizuje uživatele před tím, než je navázána plná vzdálená relace. Silná pravidla pro hesla a politiky uzamčení účtů snižují pravděpodobnost, že automatizované hádání uspěje.
Účty administrátorů potřebují přísnější kontrolu. Přístup administrátora by měl používat MFA, omezené zdrojové lokace, specializované přihlašovací údaje a bližší sledování.
Omezení přístupu podle země, IP adresy a pracovní doby
Ne každá organizace potřebuje přijímat vzdálené připojení z každé lokality. Geografická omezení a seznamy povolených IP snižují zbytečné vystavení.
Například SMB, který funguje pouze ve Francii, Španělsku a Německu, může zablokovat pokusy o přihlášení z jiných zemí. Poskytovatel spravovaných služeb může omezit přístup administrátora na důvěryhodné IP adresy kanceláře.
Omezení pracovní doby přidává další užitečnou vrstvu. Pokud dodavatelé pracují od pondělí do pátku, 08:00 až 18:00, jejich relace by neměly zůstat dostupné v 02:00 v neděli.
Použijte princip nejmenších oprávnění pro soubory, tiskárny a systémové zdroje
Přístup k aplikaci automaticky neznamená bezpečný přístup. Jakmile se relace otevře, uživatelé mohou stále interagovat s místními disky, tiskárnami, klíči registru nebo složkami.
Správci by měli zkontrolovat práva souborového systému, přístup k tiskárnám, chování schránky a systémová nastavení. Uživatel, který potřebuje jednu soukromou aplikaci, by neměl dostávat široká oprávnění na serveru.
Nejmenší oprávnění omezuje rozsah škod způsobených kompromitovaným účtem. Také snižuje pravděpodobnost, že uživatelská chyba nebo malware ovlivní nesouvisející zdroje.
Sledování neúspěšných přihlášení a chování ransomwaru
Opakované neúspěšné přihlášení může naznačovat aktivitu hrubou silou, naplnění přihlašovacích údajů nebo špatně nakonfigurované skripty. Automatické blokování je užitečné, protože útoky mohou probíhat rychleji, než na ně mohou administrátoři reagovat ručně. U vystavených přístupových cest by IT týmy měly také přezkoumat praktické ochrana proti hrubé síle řízení jako MFA, IP omezení, NLA, TLS a detekce v reálném čase.
Ochrana proti ransomwaru také patří do strategie vzdáleného přístupu. Pokyny CISA k ransomwaru se zaměřují na snížení pravděpodobnosti a dopadu incidentů s ransomwarem, což je přímo relevantní, když se soukromé aplikace připojují ke sdíleným souborům nebo provozním datům.
Přístup přes prohlížeč, přístup přes bránu a přístup RDP by měly všechny generovat události, které mohou administrátoři zkontrolovat. Viditelnost je nezbytná pro rychlou reakci a dlouhodobé zpevnění.
Jaký je kontrolní seznam pro implementaci pro SMB?
Před publikováním soukromých aplikací prostřednictvím prohlížeče by IT týmy měly potvrdit následující kontroly. Tento kontrolní seznam pomáhá snížit vystavení, omezit oprávnění uživatelů a chránit servery Windows za vzdáleným přístupem.
Definujte uživatele a přístup k aplikacím
Začněte tím, že identifikujete, kdo potřebuje vzdálený přístup a proč. Vytvořte uživatelské skupiny pro zaměstnance, dodavatele, administrátory a externí partnery, poté přiřaďte každou skupinu k aplikacím potřebným pro jejich roli.
Publikujte pouze aplikace nebo plochy, které každá skupina potřebuje. Vyhněte se poskytování plného přístupu k ploše uživatelům, když je jedna obchodní aplikace dostatečná.
Zesílení autentizace
Požadujte vícefaktorovou autentizaci pro vzdálené uživatele, externí uživatele a administrátory. MFA snižuje riziko, že ukradené nebo uhádnuté heslo se stane úspěšným kompromisem.
Kde je používán protokol Remote Desktop, povolte ověřování na úrovni sítě. NLA pomáhá ověřit uživatele před tím, než je navázána plná vzdálená relace.
Snížit internetovou expozici
Vyhněte se přímému vystavení RDP na Internetu. Používejte kontrolované přístupové body, brány nebo zabezpečené webové přístupové modely, které zahrnují autentizaci, filtrování a monitorování.
Pravidelně kontrolujte vystavené porty a služby. Odstraňte veřejný přístup, který již není potřebný.
Omezení přístupu podle kontextu
Omezte vzdálený přístup podle země, důvěryhodné IP adresy a pracovní doby. Tyto kontroly pomáhají blokovat připojení, která neodpovídají běžné obchodní činnosti.
Například dodavatel, který pracuje během pracovní doby, by se neměl moci připojit pozdě v noci nebo z neočekávaných oblastí.
Použijte nejmenší oprávnění
Zkontrolujte oprávnění k souborovému systému, tiskárně, registru a schránce. Uživatelé by měli mít pouze práva potřebná k dokončení své práce.
Nejmenší oprávnění omezuje škody způsobené kompromitovanými účty, malwarem nebo chybami uživatelů.
Povolit automatizovanou ochranu proti hrozbám
Povolit ochranu proti hrubé síle a automatizované blokování IP. Opakované neúspěšné pokusy o přihlášení by měly vyvolat rychlou obrannou akci bez čekání na manuální zásah.
Povolit ochranu proti ransomwaru na serverech, které hostují obchodní aplikace a data. Bezpečnost vzdáleného přístupu by měla chránit jak přihlašovací bod, tak serverové prostředí za ním.
Pravidelně kontrolujte události
Kontrolujte protokoly, upozornění, blokované IP adresy a události ransomware na pravidelném základě. Viditelnost zabezpečení pomáhá IT týmům odhalovat podezřelé chování a v průběhu času zlepšovat přístupové politiky.
Dokumentujte změny po každém přezkoumání. To udržuje řízení vzdáleného přístupu v souladu s uživateli, dodavateli a obchodními potřebami.
Bezpečný přístup k prohlížeči vs VPN, VDI a ZTNA – Srovnávací tabulka
VPN, virtuální desktopová infrastruktura, nebo VDI, přístup k síti s nulovou důvěrou, nebo ZTNA, a zabezpečený přístup k prohlížeči řeší související problémy různými způsoby.
| Přístup | Nejlepší volba | Hlavní riziko | Zohlednění SMB |
|---|---|---|---|
| VPN | Uživatelé, kteří potřebují široký přístup k síti | Více viditelnosti sítě, než je potřeba | Může zvýšit složitost podpory a koncových bodů |
| VDI | Centralizovaná desktopová prostředí | Náklady a administrativní zátěž | Silný, ale často těžký pro jednoduchý přístup k aplikacím |
| ZTNA | Granulární přístup k soukromým zdrojům | Architektura a složitost licencování | Silný model, ale může být složitý pro menší týmy |
| Bezpečný přístup k prohlížeči | Uživatelé, kteří potřebují specifické soukromé aplikace | Odkrytý portál, pokud není chráněn | Praktické při kombinaci s silnou serverovou bezpečností |
VPNy jsou užitečné, když uživatel skutečně potřebuje přístup k síti. VDI je užitečné, když organizace chce centralizovat plné pracovní plochy. ZTNA je užitečné, když je organizace připravena vybudovat granularní přístup založený na identitě napříč mnoha soukromými zdroji.
Bezpečný přístup přes prohlížeč je často lehčí volbou pro malé a střední podniky. Uživatelé otevřou prohlížeč, autentizují se a dostanou se k přiděleným aplikacím. Model se stává bezpečným, když je hostingová infrastruktura chráněna proti běžným hrozbám vzdáleného přístupu.
Jak TSplus pomáhá zabezpečit přístup k soukromým aplikacím přes prohlížeč
TSplus Advanced Security chrání servery Windows a relace za vzdáleným přístupem k soukromým aplikacím. Pomáhá snižovat běžná rizika expozice, jako jsou pokusy o přihlášení hrubou silou, nežádoucí geografické připojení, přístup mimo schválené hodiny, nadměrná oprávnění a chování ransomware.
Administrátoři mohou používat ochranu proti hrubou silou, geografickou ochranu, pracovní dobu, oprávnění, ochranu proti ransomwaru, firewall, upozornění a zprávy k zabezpečení přístupu k soukromým aplikacím založeným na prohlížeči. Tyto kontroly společně pomáhají omezit, kdo se připojuje, kdy je přístup povolen a které hrozby jsou blokovány.
Závěr
Bezpečný přístup k soukromým aplikacím prostřednictvím prohlížeče může snížit závislost na VPN a omezit vystavení sítě, když je ochrana na straně serveru silná. TSplus pomáhá malým a středním podnikům kontrolovat, kdo se připojuje, omezovat rizikové lokace a hodiny, blokovat pokusy o hrubou sílu, spravovat oprávnění a zastavit chování ransomware, takže soukromé aplikace zůstávají dostupné autorizovaným uživatelům, aniž by byla zbytečně vystavena infrastruktura Windows během každodenních obchodních operací.
)
)
)
