)
)
Úvod
Remote a hybridní práce poskytují zaměstnancům větší flexibilitu, ale také rozšiřují přístup mimo spravovanou kancelářskou síť. Uživatelé se mohou připojit přes domácí routery, veřejné Wi-Fi nebo osobní zařízení. IT týmy proto potřebují bezpečné pracovní prostředí, které kontroluje přístup, chrání systémy a data a zůstává dostatečně jednoduché pro každodenní práci.
Co je bezpečné pracovní prostředí pro vzdálenou práci?
Bezpečný pracovní prostor pro vzdálenou práci je řízené digitální prostředí, kde mohou zaměstnanci, dodavatelé a administrátoři přistupovat k firemním zdrojům mimo kancelář. V závislosti na jejich roli mohou uživatelé potřebovat kompletní Windows desktop, konkrétní obchodní aplikaci, cloudovou službu nebo administrativní nástroj.
Tyto připojení mohou pocházet z firemních notebooků, osobních zařízení, zákaznických míst nebo domácích sítí. Protože organizace nekontroluje každé místo, bezpečnost se již nemůže zcela spoléhat na tradiční kancelářský perimetr. Místo toho musí ochrana sledovat uživatele a relaci, ať už připojení začíná kdekoli.
Pracovní prostor je více než jen vzdálené připojení.
Šifrování je důležitou součástí vzdáleného přístupu, ale šifrované připojení není automaticky bezpečné. Pokud útočník ukradl platné přihlašovací údaje, je koncový bod infikován nebo má uživatel nadměrná oprávnění, může být toto chráněné připojení stále zneužito.
Bezpečné vzdálené pracovní prostředí spojuje kontroly identity, ochranu zařízení, omezení přístupu, zabezpečení serveru, oprávnění aplikací a monitorování. Tato opatření fungují nejlépe jako propojené vrstvy, nikoli jako samostatné bezpečnostní projekty.
Bezpečnostní řetězec vzdáleného přístupu
Pomáhá si představit vzdálený přístup jako propojený řetěz:
Uživatelská identita → Koncové zařízení → Síťové připojení → Platforma pro vzdálený přístup → Aplikace → Podniková data
Protože Bezpečnost vzdálené plochy závisí na stavu koncových bodů, síťové expozici a kontrole účtů. , slabina v jakémkoli bodě může ovlivnit celou relaci. Vícefaktorová autentizace může zastavit útočníka, který používá ukradené heslo, například, ale nemůže chránit neopravený aplikační server nebo účet s nepotřebnými administrativními právy. Bezpečné pracovní prostředí tedy musí chránit každou fázi, přičemž přístup musí odpovídat roli každého uživatele.
Proč záleží na zabezpečených vzdálených pracovních prostorech?
Remote a hybridní práce rozšiřují uživatele, zařízení a přístupové cesty napříč lokalitami, které organizace nemohou vždy přímo řídit, což je výzva, kterou pokrývá NIST pokyny k teleworku, vzdálenému přístupu a bezpečnosti BYOD Zaměstnanci se mohou připojit přes domácí routery, veřejné Wi-Fi, mobilní sítě nebo osobní počítače při práci s citlivými aplikacemi a daty.
V důsledku toho potřebují IT týmy jasný přehled o tom, kdo se připojuje, jaké zařízení používá, co se snaží dosáhnout a zda připojení odpovídá očekávanému chování.
Práce na dálku odstraňuje tradiční obvod.
V tradiční kanceláři vytvářely síťové kontroly jasnou hranici kolem uživatelů a systémů. Dálková práce tento model mění, protože legitimní připojení nyní začíná mimo interní síť.
Útočníci mohou cílit na vystavené služby protokolu Remote Desktop, slabě chráněné portály, opakovaně používaná hesla, neopravované zařízení virtuální privátní sítě a kompromitované koncové body. Jakmile se přihlásí s platnými přihlašovacími údaji, jejich aktivita může zpočátku vypadat podobně jako u autorizovaného uživatele. To je důvod, proč identita, kontext zařízení a chování relace nyní hrají tak klíčovou roli v bezpečnosti vzdálené práce.
Bezpečnostní opatření musí zachovat použitelnost
Bezpečnostní opatření, která ztěžují běžnou práci, mohou sama o sobě vytvářet problémy. Když je schválené pracovní prostředí pomalé, matoucí nebo nespolehlivé, uživatelé mohou ukládat hesla nezabezpečeně, přesouvat soubory prostřednictvím osobních služeb nebo přijímat neschválené aplikace.
Dobře navržené bezpečné pracovní prostředí snižuje riziko, aniž by přidávalo zbytečné tření. Zaměstnanci by měli vidět pouze aplikace, které potřebují, dosáhnout jich prostřednictvím konzistentní cesty přístupu a dokončit autentizaci bez zbytečné složitosti. Zároveň by centralizované politiky a protokoly měly usnadnit tuto zkušenost IT týmům.
Jádrové bezpečnostní vrstvy vzdáleného pracovního prostoru
Žádná jednotlivá technologie nemůže sama o sobě chránit vzdálenou práci. Odolné pracovní prostředí využívá několik obranných vrstev, aby selhání jedné kontroly okamžitě neodhalilo aplikace nebo data.
Identita a autentizace
Identifikační kontroly určují, zda by měl být někdo povolen k zahájení vzdálené relace. Hesla stále hrají roli ve většině autentizačních systémů, ale nestačí k ochraně proti phishingu, opakovanému používání hesel a naplnění přihlašovacích údajů.
Uživatelé na dálku a administrátoři by měli používat vícefaktorovou autentizaci, kdekoliv je to možné. Politiky uzamčení účtů, limity rychlosti přihlášení a upozornění na opakované selhání přidávají další vrstvu ochrany. Organizace by také měly okamžitě odstranit neaktivní účty a udržovat standardní uživatelské identity oddělené od privilegovaných administrativních účtů.
Důvěra koncových bodů
Koncový bod je zařízení, ze kterého vzdálené připojení začíná. I když je uživatel legitimní, kompromitovaný počítač může odhalit přihlašovací údaje, zavést malware nebo umožnit odchod citlivých souborů z organizace.
Spravované zařízení by měla přijímat aktualizace operačního systému, detekci a reakci na koncové body, ochranu proti malwaru, politiky firewallu a šifrování disků. IT týmy také musí rozhodnout, zda mohou uživatelé ukládat data lokálně, přesměrovávat schránky nebo připojovat místní disky k vzdálené relaci.
Politiky Bring Your Own Device by měly definovat minimální bezpečnostní požadavky pro osobní zařízení. Když organizace nemůže plně důvěřovat koncovému bodu, přístup k aplikacím založeným na prohlížeči nebo omezená vzdálená relace mohou pomoci snížit místní vystavení datům.
Ovládaný vzdálený přístup
Přístupová vrstva určuje, jak se uživatelé dostanou k interním aplikacím a desktopům. Kdykoli je to možné, by se IT týmy měly vyhnout přímému vystavení serverů aplikací na pozadí internetu. Bezpečná brána, reverzní proxy nebo webový portál mohou poskytnout kontrolovaný vstupní bod místo toho.
Publikování aplikací může ještě více snížit vystavení. Zaměstnanec v oblasti financí, který potřebuje pouze účetní aplikaci, nemusí mít přístup k plné pracovní ploše nebo širší interní síti.
Cokoli bezpečný model vzdáleného přístupu organizace si vybírá, měla by poskytovat šifrovanou komunikaci, podrobné přiřazení uživatelů a centralizovanou kontrolu relací. Virtuální privátní sítě zůstávají užitečné, když uživatelé skutečně potřebují konektivitu na úrovni sítě, ale nejsou vždy nejlepším výchozím řešením pro každého vzdáleného pracovníka.
Bezpečnost aplikací a relací
Bezpečnost nekončí, jakmile se uživatel přihlásí. Vzdálené relace by měly nadále omezovat přístup k aplikacím, souborům, tiskárnám a administrativním funkcím potřebným pro práci uživatele.
Řízení přístupu na základě rolí a minimální oprávnění pomáhají snížit škody, které může způsobit kompromitovaný účet. Časové limity relací, omezení pracovní doby a politiky přesměrování zařízení mohou také omezit nevyžádaný nebo nevhodný přístup.
Privilegované relace vyžadují ještě přísnější kontrolu. Správci by měli používat oddělené účty, schválená zařízení a další monitorování při práci se citlivými systémy.
Ochrana dat
Bezpečné pracovní prostředí by mělo zabránit zbytečnému pohybu obchodních dat na vzdálené koncové body. Centralizované doručování aplikací nebo desktopu může pomoci tím, že uchovává soubory a zpracování na serverech řízených organizací, zatímco uživateli posílá pouze rozhraní relace.
Citlivé informace by měly zůstat šifrované jak při přenosu, tak v klidu. Zálohovací systémy by měly také uchovávat chráněné obnovovací kopie, které nemůže upravit kompromitovaný produkční účet.
Pro regulovaná nebo důvěrná data mohou organizace také potřebovat auditování přístupu k souborům, politiky uchovávání a kontroly prevence ztráty dat.
Monitoring a reakce
Autentizace a aktivita relace by měly vytvářet protokoly, které mohou administrátoři přezkoumávat a korelovat. Užitečné události zahrnují úspěšné a neúspěšné přihlášení, blokované připojení, nové zdrojové lokace, změny oprávnění, přístup k souborům a změny konfigurace zabezpečení.
Upozornění jsou nejvíce užitečná, když ukazují na chování, které vyžaduje akci. Opakované neúspěšné pokusy o přihlášení, privilegovaný účet připojující se z nového místa nebo jeden zdroj snažící se dosáhnout několika serverů jsou všechno příklady.
Monitoring only helps when the organization knows how to respond. IT týmy potřebují jasné postupy pro deaktivaci účtu, izolaci hostitele, ukončení relace a uchování důkazů, když se objeví podezřelá činnost.
Jaké jsou běžné hrozby pro vzdálené pracovní prostory?
Útoky na vzdálené pracovní prostory často kombinují několik běžných slabin místo spoléhání se na jeden sofistikovaný exploit. Pohled na pravděpodobnou cestu útoku pomáhá IT týmům rozhodnout, které kontroly si zaslouží největší pozornost.
Krádež přihlašovacích údajů a phishing
Phishing zůstává jedním z nejběžnějších způsobů, jak získat přihlašovací údaje pro vzdálený přístup. Útočníci mohou kopírovat přihlašovací stránky Microsoft 365, portály podpory nebo výzvy k vícefaktorovému ověřování, aby oklamali uživatele a přiměli je schválit přístup.
Vícefaktorová autentizace činí ukradené heslo méně užitečným, ale povědomí uživatelů je stále důležité. Privilegované a vysoce rizikové účty mohou také vyžadovat silnější metody autentizace odolné proti phishingu.
Otevřené vzdálené služby
Služby vzdáleného přístupu na internet jsou neustále skenovány na slabá hesla, známé zranitelnosti a chyby v konfiguraci. Přímé vystavení portu 3389 protokolu Remote Desktop vytváří zbytečné riziko, když je k dispozici brána nebo zprostředkovaná metoda přístupu.
Když nelze vyhnout veřejnému vystavení, měly by IT týmy omezit zdrojové adresy, kde je to praktické, rychle aplikovat bezpečnostní aktualizace, vynucovat ověřování na úrovni sítě a sledovat neúspěšné pokusy o připojení.
Ransomware a aktivita po přihlášení
Útočník, který získá přístup prostřednictvím vzdáleného účtu, může použít legitimní systémové nástroje k prozkoumání prostředí, zvýšení oprávnění a nasazení ransomwaru. Prevence počátečního přihlášení je důležitá, ale a ransomware playbook pro prostředí RDS musí také omezit, k čemu může autentizovaná relace přistupovat.
Segmentace sítě, omezená oprávnění, chráněné zálohy a behaviorální monitorování mohou snížit dopad úspěšného narušení.
Neřízená zařízení a stínová IT
Osobní zařízení a neoprávněné cloudové služby mohou přesunout firemní data mimo organizační kontrolu. Zaměstnanci se často uchylují k těmto nástrojům, protože schválené pracovní prostředí nepodporuje praktickou potřebu.
Místo toho, aby se IT týmy spoléhali pouze na zákaz, by měly řešit pracovní postup za chováním. Spolehlivý prohlížečový portál, schválená metoda přenosu souborů nebo služba publikování aplikací mohou učinit shadow IT méně atraktivním.
Jak vytvořit bezpečné vzdálené pracovní prostředí?
Bezpečný pracovní prostor funguje nejlépe, když je zaveden jako strukturovaný program, nikoli jako soubor nesouvisejících produktů. Následující sekvence pomáhá IT týmům nejprve se vypořádat s nejdůležitějšími riziky.
Mapujte uživatele, zařízení a zdroje
Začněte identifikací všech, kteří potřebují vzdálený přístup. Zaměstnanci, dodavatelé, administrátoři, poskytovatelé spravovaných služeb a další třetí strany by měly být považovány za samostatné skupiny, protože jejich požadavky a rizika se liší.
Pro každou skupinu zaznamenejte aplikace, data, časy připojení a typy koncových bodů, které vyžadují. Tyto informace poskytují základ pro přístupové politiky.
Snižte zbytečné vystavení
Následující CISA pokyny pro zabezpečení softwaru pro vzdálený přístup , zkontrolujte všechny internetové služby pro vzdálený přístup a odstraňte vše, co již není potřeba. Když je to možné, umístěte zabezpečenou bránu, reverzní proxy nebo webový portál před aplikační servery místo jejich přímého zveřejnění.
Publikování jednotlivých aplikací namísto celých desktopů nebo sítí může dále snížit vystavení. Menší přístupová plocha se obvykle snáze chrání a monitoruje.
Zesílení autentizace
Požadujte vícefaktorovou autentizaci pro vzdálené uživatele a administrátory. Privilegované účty by měly mít přísnější podmínky, jako jsou oddělené přihlašovací údaje a přístup z autorizovaných zařízení.
Ochrana proti opakovaným pokusům o přihlášení by měla být také povolena a sledována. Politiky hesel by měly podporovat dlouhé, jedinečné přihlašovací údaje, aniž by se spoléhaly na předvídatelné plány rotace.
Použijte přístup s nejmenšími oprávněními
Přiřaďte aplikace a soubory prostřednictvím uživatelských nebo rolových skupin. Každá osoba by měla obdržet pouze přístup potřebný pro své aktuální povinnosti.
Oprávnění by měla být pravidelně přezkoumávána a odstraňována, když zaměstnanci mění role nebo dodavatelé dokončí svou práci. Administrativní účty by měly také zůstat oddělené od účtů používaných pro každodenní přístup k aplikacím.
Chraňte koncové body a servery
Udržujte operační systémy koncových bodů, prohlížeče, obchodní aplikace a software pro vzdálený přístup aktuální. Spravovaná zařízení by měla také používat ochranu koncových bodů, pravidla firewallu a šifrování disků.
Hostitelé vzdálených relací a aplikační servery potřebují stejnou pozornost. IT týmy by je měly pravidelně aktualizovat, odstraňovat nepoužívané služby a chránit je před pokusy o hrubou sílu, činností ransomware a neoprávněnými změnami konfigurace.
Sledujte kompletní přístupovou cestu
Shromažďujte události z identitních systémů, brán vzdáleného přístupu, serverů Windows, nástrojů pro koncové body a obchodních aplikací. Spojení těchto záznamů usnadňuje vidět sekvenci činností spíše než sbírku izolovaných upozornění.
Odpovědní prahy by měly pokrývat opakované selhání, neobvyklé lokace, privilegované přihlášení a přístup mimo schválené hodiny. Politiky by měly být také přezkoumány po incidentech, změnách infrastruktury a změnách v pracovní síle.
Testovací postupy obnovy
Zálohy musí zůstat dostupné i v případě, že jsou produkční servery nebo přihlašovací údaje ohroženy. Správa záloh by měla být chráněna odděleně a postupy obnovy by měly být pravidelně testovány.
Cvičení incidentů by měla potvrdit, že tým může odvolat přístup, izolovat systémy, obnovit služby a komunikovat s uživateli. Dokud nebudou tyto postupy otestovány, zůstává plán obnovy předpokladem.
Jak si můžete vybrat bezpečné technologie pro pracovní prostředí?
Bezpečné vzdálené pracovní prostředí obvykle kombinuje několik technologií, přičemž každá z nich se zaměřuje na jinou část procesu přístupu.
| Technologie | Hlavní účel | Nejlépe se hodí pro |
|---|---|---|
| Služby vzdálené plochy | Centralizované Windows desktopy a relace | Organizace poskytující plné pracovní prostory Windows |
| Publikování aplikací | Dodání vybraných aplikací | Uživatelé, kteří nepotřebují plnou pracovní plochu |
| Bezpečnostní přístupová brána | Zprostředkovaný přístup bez přímé expozice serveru | Internetové vzdálené přístupové prostředí |
| HTML5 webový portál | Přístup přes prohlížeč bez dedikovaného klienta | Dodavatelé, mobilní uživatelé a smíšené koncové body |
| Virtuální privátní síť | Šifrované připojení na úrovni sítě | Uživatelé vyžadující přístup k několika interním službám |
| Vícefaktorová autentizace | Další ověření identity | Všichni vzdálení uživatelé, zejména administrátoři |
| Endpoint protection | Detekce malwaru a ochrana zařízení | Spravované notebooky, stolní počítače a servery |
| Bezpečnostní monitoring | Detekce, vyšetřování a reakce | Všechny produkční prostředí pro vzdálený přístup |
Správná architektura závisí na tom, co každý uživatel skutečně potřebuje k dosažení. Většinou by si IT týmy měly vybrat nejužší metodu přístupu, která stále podporuje požadovanou práci.
Jak vyhodnotit řešení zabezpečeného pracovního prostoru?
Výběr produktu by měl začít modelem přístupu organizace spíše než dlouhým seznamem funkcí. Nejprve se musí IT týmy rozhodnout, zda uživatelé potřebují plný přístup k síti, kompletní pracovní plochy, nebo pouze vybrané aplikace. Poskytnutí širokého přístupu všem může vytvořit zbytečnou složitost a riziko, když by omezenější model podporoval stejnou práci.
Hodnocení by se mělo zaměřit na pět oblastí:
- Identita a přístupové kontroly, včetně vícefaktorové autentizace, oprávnění na základě rolí a integrace s existujícími identitními službami
- Možnosti doručení aplikací a desktopů, podporované zabezpečeným bránou nebo schopnostmi reverzního proxy.
- Bezpečnost relace, včetně politik přesměrování zařízení, omezení činnosti a administrátorských kontrol
- Monitoring a ochrana prostřednictvím protokolování, upozornění, zpráv, zabezpečení serveru a obrany proti ransomwaru
- Provozní vhodnost, včetně úsilí o nasazení, záplatování, kompatibility s Windows, škálovatelnosti a celkových nákladů
Důkaz konceptu by měl používat skutečné uživatele, aplikace, zařízení a podmínky sítě. Měl by také ukázat, jak mohou administrátoři odvolat přístup, vyšetřit podezřelou činnost, aplikovat aktualizace a obnovit službu po selhání serveru nebo bezpečnostním incidentu.
Jak TSplus podporuje bezpečné vzdálené pracovní prostředí?
TSplus Advanced Security posiluje Windows servery, které podporují vzdálenou práci. Přidává specializovanou ochranu proti hrozbám ovlivňujícím relace protokolu Remote Desktop, aplikační servery a další internetově orientovaná Windows prostředí. Správci mohou tyto kontroly spravovat centrálně, aby snížili vystavení riziku, aniž by zbytečně zkomplikovali legitimní vzdálený přístup.
Jeho hlavní bezpečnostní funkce zahrnují:
- Bruteforce Protection sleduje neúspěšné pokusy o přihlášení a blokuje IP adresy, které překročí nastavené limity.
- Geografická ochrana omezuje příchozí připojení podle jejich země původu.
- Ochrana proti ransomwaru detekuje podezřelou činnost souborů a může zablokovat postižené procesy, než se útok rozšíří.
- Zabezpečené relace a oprávnění omezují, k čemu mají uživatelé přístup a co mohou provádět během relací Windows.
- Pracovní doba omezuje vzdálené připojení na schválené rozvrhy.
- Důvěryhodná zařízení spojují přístup s autorizovanými koncovými body.
- Nástroje pro správu firewallu a IP pomáhají administrátorům povolit, blokovat a přezkoumávat síťové zdroje.
- Bezpečnostní události, upozornění a zprávy poskytují přehled o podezřelé činnosti a akcích politiky.
TSplus Advanced Security mělo by fungovat jako součást vícestupňové bezpečnostní strategie, která také zahrnuje vícefaktorovou autentizaci, ochranu koncových bodů, správu záplat, chráněné zálohy a administraci s minimálními oprávněními. Tyto kontroly společně pomáhají IT týmům chránit vzdálené pracovní prostory před útoky hrubou silou, ransomwarem a neoprávněným přístupem, aniž by se spoléhaly na jedinou obrannou opatření.
Závěr
Bezpečný pracovní prostor pro vzdálenou práci není definován konkrétním produktem nebo metodou připojení. Je to vícestupňové prostředí, které chrání identitu uživatele, koncová zařízení, síťová připojení, vzdálené relace, aplikace a obchodní data jako jeden nepřetržitý přístupový řetězec.
IT týmy by měly snížit zbytečnou expozici, prosadit silnou autentizaci a aplikovat přístup s minimálními oprávněními před přidáním ochrany koncových bodů, zpevněním serveru a centralizovaným monitorováním. V kombinaci s testovanými zálohovacími a obnovovacími postupy tyto opatření vytvářejí odolné pracovní prostředí, které podporuje vzdálenou produktivitu a zároveň omezuje dopad kompromitovaných účtů, zařízení nebo relací.
)
)
)
