TSplus Advanced Security Logo

آیا می‌خواهید سایت را به زبان دیگری ببینید؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغییر زبان
فهرست مطالب

معرفی

دسترسی امن مرورگر به برنامه‌های خصوصی به کارکنان، پیمانکاران و شرکا این امکان را می‌دهد که از هر جایی به برنامه‌های تجاری دسترسی پیدا کنند بدون اینکه کل شبکه را باز کنند. برای تیم‌های IT شرکت‌های کوچک و متوسط، چالش در تعادل بین راحتی و حفاظت است. این مقاله توضیح می‌دهد که چگونه می‌توان ریسک دسترسی از راه دور را از طریق حداقل امتیاز، احراز هویت قوی‌تر و قوانین اتصال کنترل‌شده کاهش داد.

دسترسی مرورگر امن به برنامه‌های خصوصی چیست؟

دسترسی ایمن مرورگر به برنامه‌های خصوصی به کاربران مجاز این امکان را می‌دهد که برنامه‌های داخلی کسب و کار را از طریق یک مرورگر وب باز کنند. به جای اتصال به کل شبکه از طریق یک شبکه خصوصی مجازی یا VPN، کاربران فقط به برنامه‌های اختصاص داده شده به خود دسترسی پیدا می‌کنند.

یک برنامه خصوصی ممکن است یک سیستم برنامه‌ریزی منابع سازمانی، نرم‌افزار حسابداری، پایگاه داده مشتری، پورتال داخلی، کنسول مدیریت، برنامه ویندوز قدیمی یا پروتکل دسکتاپ از راه دور RDP، برنامه. این برنامه خصوصی است زیرا نباید به طور مستقیم در اینترنت عمومی در دسترس باشد.

اصل امنیتی ساده است: دسترسی مرورگر باید برنامه را فراهم کند، نه کل شبکه. این از حداقل امتیاز پشتیبانی می‌کند، جایی که کاربران دسترسی مورد نیاز برای نقش خود را دریافت می‌کنند و هیچ چیز بیشتر.

دسترسی امن به مرورگر همچنین باید از آنچه در پشت صفحه ورود قرار دارد محافظت کند. جلسات ویندوز، فایل‌ها، اعتبارنامه‌ها و برنامه‌های تجاری همچنان اهداف ارزشمندی هستند، بنابراین محیط سرور به کنترل‌های امنیتی فراتر از احراز هویت ساده نیاز دارد.

چرا دسترسی فقط از طریق VPN می‌تواند خطرات غیرضروری ایجاد کند؟

VPNها برای مدیران و کاربران فنی که به دسترسی وسیع در سطح شبکه نیاز دارند، مفید باقی می‌مانند. یک VPN یک تونل رمزگذاری شده به یک شبکه خصوصی ایجاد می‌کند و می‌تواند زمانی که به درستی پیکربندی شده باشد، مؤثر باشد.

با این حال، دسترسی فقط از طریق VPN می‌تواند در زمانی که یک کاربر به یک برنامه یا گروه کوچکی از منابع تجاری نیاز دارد، بیش از حد باشد. در این صورت، VPN ممکن است دید شبکه، کار پشتیبانی نقطه پایانی و تأثیر احتمالی یک حساب compromised را افزایش دهد.

NIST SP 800-46 Rev. 2 توضیح می‌دهد که برنامه‌های امنیتی دسترسی از راه دور باید به سناریوهای کار از راه دور، دسترسی از راه دور و استفاده از دستگاه‌های شخصی توجه کنند، از جمله سیاست‌های امنیتی و کنترل‌های فناوری. این موضوع اهمیت دارد زیرا دسترسی به برنامه‌های خصوصی معمولاً شامل کاربران خارجی، دستگاه‌های غیرمدیریت شده و اتصالات از شبکه‌های خارج از کنترل سازمان است.

برای کسب‌وکارهای کوچک و متوسط، پیچیدگی VPN می‌تواند به یک مشکل عملیاتی روزانه تبدیل شود. پیمانکاران ممکن است به دسترسی موقت نیاز داشته باشند. کاربران ممکن است از دستگاه‌های شخصی کار کنند. تیم‌های IT ممکن است زمان زیادی را صرف مدیریت مشتریان کنند به جای کاهش ریسک.

دسترسی ایمن مرورگر به برنامه‌های خصوصی مدل متمرکزتری را ارائه می‌دهد. سازمان برنامه‌های خاصی را منتشر می‌کند، کنترل می‌کند که چه کسی می‌تواند متصل شود و زیرساختی را که آن برنامه‌ها در آن اجرا می‌شوند، محافظت می‌کند.

چه چیزی دسترسی مرورگر را امن می‌کند؟

دسترسی مرورگر به طور خودکار امن نیست. یک پورتال وب، صفحه ورود یا برنامه منتشر شده هنوز می‌تواند مورد حمله قرار گیرد اگر بدون کنترل‌های قوی در معرض باشد.

دسترسی ایمن به مرورگر به سه لایه بستگی دارد: هویت، دامنه برنامه و حفاظت از زیرساخت. هر لایه بخشی متفاوت از ریسک دسترسی از راه دور را کاهش می‌دهد.

هویت و احراز هویت

کنترل‌های هویت تعیین می‌کنند که چه کسی مجاز به اتصال است. سازمان‌ها باید از سیاست‌های قوی رمز عبور، احراز هویت چندعاملی یا MFA و قوانین قفل حساب برای نقاط دسترسی در معرض استفاده کنند.

برای محیط‌های مبتنی بر RDP، احراز هویت سطح شبکه یا NLA نیز مهم است. NLA کاربران را قبل از برقراری یک جلسه کامل RDP احراز هویت می‌کند که به کاهش قرارگیری غیرضروری منابع سرور کمک می‌کند.

کنترل دسترسی در سطح برنامه

کنترل دسترسی در سطح برنامه تعیین می‌کند که هر کاربر پس از احراز هویت به چه چیزی می‌تواند دسترسی پیدا کند. این تفاوت بین "کاربر می‌تواند برنامه حسابداری را باز کند" و "کاربر می‌تواند به سرور مرور کند" است.

دسترسی امن به مرورگر باید برنامه‌ها را بر اساس کاربر یا گروه اختصاص دهد. تیم‌های مالی، حسابداران خارجی، پیمانکاران و مدیران نباید به طور پیش‌فرض دسترسی یکسانی دریافت کنند. این یک رویکرد عملی را پشتیبانی می‌کند. صفر اعتماد برای دسترسی از راه دور SMB مدل، جایی که هر کاربر، دستگاه و جلسه قبل از اجازه دسترسی تأیید می‌شود.

حفاظت از سرور و داده‌ها

دسترسی امن به مرورگر بنابراین باید شامل امنیت پیشرفته کنترل‌هایی مانند دفاع در برابر حملات brute-force، فیلتر کردن جغرافیایی، محدودیت‌های ساعات کاری، کنترل مجوزها، حفاظت در برابر ransomware، هشدارها و لاگ‌های امنیتی. بدون این لایه‌ها، مرورگر به سادگی به یک سطح دسترسی از راه دور دیگر تبدیل می‌شود.

دسترسی ایمن به مرورگر بنابراین باید شامل دفاع در برابر حملات brute-force، فیلتر جغرافیایی، محدودیت‌های ساعات کاری، کنترل مجوزها، حفاظت در برابر باج‌افزار، هشدارها و لاگ‌های امنیتی باشد. بدون این لایه‌ها، مرورگر به سادگی به یک سطح دسترسی از راه دور دیگر تبدیل می‌شود.

بهترین شیوه‌ها برای دسترسی امن مرورگر به برنامه‌های خصوصی چیست؟

یک استراتژی دسترسی مرورگر امن باید در معرض خطر را قبل، در حین و بعد از هر اتصال کاهش دهد. شیوه‌های زیر به تیم‌های IT کمک می‌کند تا برنامه‌های خصوصی را بدون ایجاد پیچیدگی غیرضروری محافظت کنند.

فقط برنامه‌هایی را منتشر کنید که کاربران به آن‌ها نیاز دارند

انتشار برنامه باید با نقشه‌برداری نقش آغاز شود. هر کاربر یا گروه باید فقط به برنامه‌های مورد نیاز برای کار روزانه دسترسی داشته باشد.

به عنوان مثال، یک حسابدار خارجی ممکن است به یک برنامه حسابداری نیاز داشته باشد اما به یک دسکتاپ کامل نیاز نداشته باشد. یک پیمانکار پشتیبانی ممکن است به یک کنسول مدیریت نیاز داشته باشد اما به دسترسی به سرور فایل نیاز نداشته باشد.

این دامنه‌سازی آسیب‌پذیری‌های ناشی از سرقت اعتبارنامه‌ها یا سوءاستفاده از جلسه را کاهش می‌دهد. حتی زمانی که یک حساب کاربری به خطر بیفتد، مهاجم سیستم‌های کمتری برای دسترسی دارد.

از قرار دادن RDP و خدمات از راه دور به طور مستقیم خودداری کنید

خدمات از راه دور که به طور مستقیم در معرض دید قرار دارند، اسکنرها، ابزارهای حمله به روش جستجوی فراگیر و حملات اعتبارنامه را جذب می‌کنند. RDP نباید بدون حفاظت اضافی به اینترنت باز بماند.

مایکروسافت یادگیری توضیح می‌دهد که دروازه دسکتاپ از راه دور، یا RD Gateway، به عنوان روشی برای کاربران برای اتصال به منابع شبکه داخلی به طور ایمن از خارج از دیوار آتش شرکتی عمل می‌کند. این مدل مبتنی بر دروازه به جلوگیری از دسترسی مستقیم غیرقابل کنترل به سیستم‌های داخلی کمک می‌کند.

حتی زمانی که یک سازمان از یک پورتال وب یا دروازه استفاده می‌کند، مدیران باید همچنان پورت‌های در معرض خطر را کاهش دهند، احراز هویت را تقویت کنند و رفتار ورود را نظارت کنند. امنیت دسترسی از راه دور به زنجیره کامل بستگی دارد، نه تنها به صفحه ورود اول.

اجرای MFA، NLA و سیاست‌های رمز عبور قوی

تنها داشتن رمزهای عبور برای دسترسی از راه دور کافی نیست. استفاده مجدد از رمزهای عبور، فیشینگ و پر کردن اعتبارنامه‌ها، صفحات ورود در معرض خطر را به هدفی رایج تبدیل می‌کند.

MFA یک مرحله تأیید دوم را اضافه می‌کند. NLA به محافظت از محیط‌های RDP کمک می‌کند با احراز هویت کاربران قبل از برقراری یک جلسه کامل از راه دور. قوانین قوی رمز عبور و سیاست‌های قفل حساب احتمال موفقیت حدس خودکار را کاهش می‌دهند.

حساب‌های مدیر نیاز به کنترل‌های سخت‌گیرانه‌تری دارند. دسترسی مدیر باید از احراز هویت چندعاملی (MFA)، مکان‌های منبع محدود، اعتبارنامه‌های اختصاصی و نظارت دقیق‌تر استفاده کند.

دسترسی را بر اساس کشور، آدرس IP و ساعات کاری محدود کنید

هر سازمانی نیاز ندارد که اتصالات از هر مکان را بپذیرد. محدودیت‌های جغرافیایی و لیست‌های مجاز IP، قرار گرفتن در معرض غیرضروری را کاهش می‌دهند.

به عنوان مثال، یک SMB که فقط در فرانسه، اسپانیا و آلمان فعالیت می‌کند می‌تواند تلاش‌های ورود از کشورهای دیگر را مسدود کند. یک ارائه‌دهنده خدمات مدیریت شده می‌تواند دسترسی مدیر را به آدرس‌های IP معتبر دفتر محدود کند.

محدودیت‌های ساعت کاری یک لایه مفید دیگر اضافه می‌کند. اگر پیمانکاران از دوشنبه تا جمعه، از ۰۸:۰۰ تا ۱۸:۰۰ کار کنند، جلسات آن‌ها نباید در ساعت ۰۲:۰۰ روز یکشنبه در دسترس باقی بماند.

حداقل دسترسی را به فایل‌ها، چاپگرها و منابع سیستم اعمال کنید

دسترسی به برنامه به طور خودکار به معنای دسترسی ایمن نیست. هنگامی که یک جلسه باز می‌شود، کاربران ممکن است هنوز با درایوهای محلی، چاپگرها، کلیدهای رجیستری یا پوشه‌ها تعامل داشته باشند.

مدیران باید حقوق سیستم فایل، دسترسی به چاپگر، رفتار کلیپ بورد و تنظیمات سیستم را بررسی کنند. کاربری که به یک برنامه خصوصی نیاز دارد نباید مجوزهای گسترده سرور دریافت کند.

حداقل دسترسی محدوده آسیب‌پذیری یک حساب کاربری compromised را محدود می‌کند. همچنین احتمال اینکه خطای کاربر یا بدافزار بر منابع غیرمرتبط تأثیر بگذارد را کاهش می‌دهد.

ورودهای ناموفق و رفتار باج‌افزار را نظارت کنید

تلاش‌های ناموفق مکرر برای ورود می‌تواند نشان‌دهنده فعالیت‌های حمله‌ی brute-force، پر کردن اعتبار یا اسکریپت‌های پیکربندی‌نشده باشد. مسدودسازی خودکار مفید است زیرا حملات می‌توانند سریع‌تر از آنچه که مدیران بتوانند به‌صورت دستی پاسخ دهند، اتفاق بیفتند. برای مسیرهای دسترسی در معرض خطر، تیم‌های IT همچنین باید بررسی‌های عملی انجام دهند. حفاظت از نیروی خام کنترل‌هایی مانند MFA، محدودیت‌های IP، NLA، TLS و تشخیص در زمان واقعی.

حفاظت در برابر باج‌افزار همچنین بخشی از استراتژی دسترسی از راه دور است. راهنمایی‌های CISA در مورد باج‌افزار بر کاهش احتمال و تأثیر حوادث باج‌افزاری تمرکز دارد که به‌طور مستقیم در زمانی که برنامه‌های خصوصی به فایل‌های مشترک یا داده‌های عملیاتی متصل می‌شوند، مرتبط است.

دسترسی مرورگر، دسترسی دروازه و دسترسی RDP باید همگی رویدادهایی تولید کنند که مدیران بتوانند آنها را بررسی کنند. دیدVisibility برای پاسخ سریع و سخت‌سازی بلندمدت ضروری است.

چک لیست پیاده‌سازی برای کسب‌وکارهای کوچک و متوسط چیست؟

قبل از انتشار برنامه‌های خصوصی از طریق یک مرورگر، تیم‌های IT باید کنترل‌های زیر را تأیید کنند. این چک‌لیست به کاهش آسیب‌پذیری، محدود کردن مجوزهای کاربر و محافظت از سرورهای ویندوز پشت دسترسی از راه دور کمک می‌کند.

تعریف کاربران و دسترسی به برنامه

ابتدا شناسایی کنید که چه کسی به دسترسی از راه دور نیاز دارد و چرا. گروه‌های کاربری برای کارمندان، پیمانکاران، مدیران و شرکای خارجی ایجاد کنید، سپس هر گروه را به برنامه‌های مورد نیاز برای نقش آن‌ها متصل کنید.

فقط برنامه‌ها یا دسکتاپ‌هایی را که هر گروه نیاز دارد منتشر کنید. از دادن دسترسی کامل به دسکتاپ به کاربران در زمانی که یک برنامه تجاری کافی است، خودداری کنید.

احراز هویت را تقویت کنید

احراز هویت چندعاملی را برای کاربران از راه دور، کاربران خارجی و مدیران الزامی کنید. MFA خطر اینکه یک رمز عبور دزدیده شده یا حدس زده شده به یک نفوذ موفق تبدیل شود را کاهش می‌دهد.

در جایی که پروتکل دسکتاپ از راه دور استفاده می‌شود، احراز هویت سطح شبکه را فعال کنید. NLA به احراز هویت کاربران قبل از برقراری یک جلسه کامل از راه دور کمک می‌کند.

کاهش قرارگیری در معرض اینترنت

از قرار دادن RDP به طور مستقیم در معرض اینترنت خودداری کنید. از نقاط دسترسی کنترل شده، دروازه‌ها یا مدل‌های دسترسی وب امن استفاده کنید که شامل احراز هویت، فیلتر کردن و نظارت باشند.

پورت‌ها و خدمات نمایان را به‌طور منظم بررسی کنید. دسترسی عمومی که دیگر مورد نیاز نیست را حذف کنید.

دسترسی را بر اساس زمینه محدود کنید

دسترسی از راه دور را بر اساس کشور، آدرس IP مورد اعتماد و ساعات کاری محدود کنید. این کنترل‌ها به مسدود کردن اتصالاتی که با فعالیت‌های عادی تجاری مطابقت ندارند، کمک می‌کنند.

به عنوان مثال، یک پیمانکار که در ساعات اداری کار می‌کند نباید بتواند در اواخر شب یا از مناطق غیرمنتظره متصل شود.

حداقل دسترسی را اعمال کنید

سیستم فایل، پرینتر، رجیستری و مجوزهای کلیپ بورد را بررسی کنید. کاربران باید فقط حقوق لازم برای انجام کار خود را داشته باشند.

حداقل دسترسی آسیب ناشی از حساب‌های compromised، بدافزار یا اشتباهات کاربر را محدود می‌کند.

فعال‌سازی حفاظت خودکار در برابر تهدیدات

حفاظت در برابر حملات brute-force و مسدودسازی خودکار IP را فعال کنید. تلاش‌های مکرر برای ورود ناموفق باید اقدام دفاعی سریع را بدون انتظار برای مداخله دستی تحریک کند.

رایانش باج‌افزار را در سرورهای میزبانی برنامه‌های تجاری و داده‌ها فعال کنید. امنیت دسترسی از راه دور باید هم نقطه ورود و هم محیط سرور پشت آن را محافظت کند.

رویدادها را به طور منظم بررسی کنید

گزارش‌های بررسی، هشدارها، آدرس‌های IP مسدود شده و رویدادهای باج‌افزار را به‌طور منظم بررسی کنید. دید امنیتی به تیم‌های IT کمک می‌کند تا رفتار مشکوک را شناسایی کرده و سیاست‌های دسترسی را در طول زمان بهبود بخشند.

تغییرات سند پس از هر بازبینی. این کنترل‌های دسترسی از راه دور را با کاربران، پیمانکاران و نیازهای کسب‌وکار هماهنگ نگه می‌دارد.

دسترسی مرورگر امن در مقابل VPN، VDI و ZTNA – جدول مقایسه

VPN، زیرساخت دسکتاپ مجازی، یا VDI، دسترسی به شبکه با اعتماد صفر، یا ZTNA، و دسترسی به مرورگر امن مشکلات مرتبط را به روش‌های مختلف حل می‌کنند.

رویکرد بهترین تناسب ریسک اصلی ملاحظات SMB
VPN کاربران که به دسترسی گسترده به شبکه نیاز دارند بیشتر دید شبکه‌ای از آنچه نیاز است می‌تواند پیچیدگی پشتیبانی و نقطه پایانی را افزایش دهد
VDI محیط‌های دسکتاپ متمرکز هزینه و بار اداری قوی، اما اغلب سنگین برای دسترسی به برنامه‌های ساده
ZTNA دسترسی دقیق به منابع خصوصی پیچیدگی معماری و مجوزها مدل قوی، اما ممکن است برای تیم‌های کوچک پیچیده باشد
دسترسی امن به مرورگر کاربران که به برنامه‌های خصوصی خاص نیاز دارند پورتال در معرض خطر اگر محافظت نشود عملی زمانی که با امنیت قوی سرور ترکیب شود

VPNها زمانی مفید هستند که کاربر واقعاً به دسترسی به شبکه نیاز داشته باشد. VDI زمانی مفید است که سازمان می‌خواهد دسکتاپ‌های کامل را متمرکز کند. ZTNA زمانی مفید است که سازمان آماده است تا دسترسی مبتنی بر هویت دقیق را در بسیاری از منابع خصوصی ایجاد کند.

دسترسی ایمن به مرورگر اغلب گزینه سبک‌تری برای SMBها است. کاربران یک مرورگر را باز می‌کنند، احراز هویت می‌کنند و به برنامه‌های اختصاصی دسترسی پیدا می‌کنند. این مدل زمانی ایمن می‌شود که زیرساخت میزبانی در برابر تهدیدات رایج دسترسی از راه دور محافظت شود.

چگونه TSplus به تأمین دسترسی مرورگر به برنامه‌های خصوصی کمک می‌کند

TSplus Advanced Security سرورهای ویندوز و جلسات را در برابر دسترسی از راه دور به برنامه‌های خصوصی محافظت می‌کند. این به کاهش خطرات معمولی مانند تلاش‌های ورود به سیستم با استفاده از روش‌های قوی، اتصالات جغرافیایی ناخواسته، دسترسی خارج از ساعات تأیید شده، مجوزهای بیش از حد و رفتار باج‌افزاری کمک می‌کند.

مدیران می‌توانند از حفاظت در برابر حملات بروت‌فورس، حفاظت جغرافیایی، ساعات کاری، مجوزها، حفاظت در برابر باج‌افزار، فایروال، هشدارها و گزارش‌ها برای تقویت دسترسی به برنامه‌های خصوصی مبتنی بر مرورگر استفاده کنند. این کنترل‌ها به طور مشترک به محدود کردن اینکه چه کسی متصل می‌شود، چه زمانی دسترسی مجاز است و کدام تهدیدات مسدود می‌شوند، کمک می‌کنند.

نتیجه

دسترسی ایمن مرورگر به برنامه‌های خصوصی می‌تواند وابستگی به VPN را کاهش دهد و در زمانی که حفاظت سمت سرور قوی است، قرارگیری شبکه را محدود کند. TSplus به SMBها کمک می‌کند تا کنترل کنند که چه کسی متصل می‌شود، مکان‌ها و ساعات پرخطر را محدود کنند، تلاش‌های حمله به روش brute-force را مسدود کنند، مجوزها را مدیریت کنند و رفتار باج‌افزار را متوقف کنند، به طوری که برنامه‌های خصوصی برای کاربران مجاز در دسترس باقی بمانند بدون اینکه زیرساخت ویندوز در طول عملیات روزانه کسب و کار به طور غیرضروری در معرض خطر قرار گیرد.

اشتراک:

فیسبوک توییتر لینکداین

تیم TSplus شما

مطالعه بیشتر

back to top of the page icon