)
)
Johdanto
Turvallinen selainpääsy yksityisiin sovelluksiin mahdollistaa työntekijöiden, urakoitsijoiden ja kumppaneiden pääsyn liiketoimintasovelluksiin mistä tahansa ilman koko verkon avaamista. PK-yritysten IT-tiimien haasteena on tasapainottaa mukavuus ja suojaus. Tämä artikkeli selittää, kuinka etäyhteyden riskiä voidaan vähentää vähimmäisoikeuksien, vahvemman todennuksen ja hallittujen yhteys sääntöjen avulla.
Mikä on turvallinen selainpääsy yksityisiin sovelluksiin?
Turvallinen selainpääsy yksityisiin sovelluksiin mahdollistaa valtuutettujen käyttäjien avata sisäisiä liiketoimintasovelluksia verkkoselaimen kautta. Sen sijaan, että käyttäjät yhdistäisivät koko verkkoon virtuaalisen yksityisverkon, eli VPN:n, kautta, he pääsevät vain heille määritettyihin sovelluksiin.
Yksityinen sovellus voi olla yrityksen resurssien suunnittelujärjestelmä, kirjanpito-ohjelmisto, asiakastietokanta, sisäinen portaali, hallintakonsoli, vanha Windows-sovellus tai Etätyöpöytäprotokolla RDP, sovellus. Sovellus on yksityinen, koska sen ei pitäisi olla suoraan saatavilla julkisessa Internetissä.
Turvallisuusperiaate on yksinkertainen: selainpääsyn tulisi tarjota sovellus, ei koko verkko. Tämä tukee vähimmäisoikeuksia, joissa käyttäjät saavat roolinsa edellyttämän pääsyn eikä mitään enempää.
Turvallisen selainkäytön on myös suojattava sen takana olevaa sisältöä kirjautumissivun takana. Windows-istunnot, tiedostot, käyttöoikeudet ja liiketoimintasovellukset ovat edelleen arvokkaita kohteita, joten palvelinympäristössä tarvitaan turvallisuusohjauksia pelkän todennuksen lisäksi.
Miksi vain VPN-yhteys voi luoda tarpeetonta riskiä?
VPN:t ovat edelleen hyödyllisiä ylläpitäjille ja teknisille käyttäjille, jotka tarvitsevat laajaa verkon tason pääsyä. VPN luo salatun tunnelin yksityiseen verkkoon ja voi olla tehokas, kun se on oikein konfiguroitu.
Kuitenkin, vain VPN-yhteys voi olla liiallinen, kun käyttäjä tarvitsee yhtä sovellusta tai pientä ryhmää liiketoimintaresursseja. Tällöin VPN voi lisätä verkon näkyvyyttä, päätepisteen tukityötä ja mahdollisia vaikutuksia vaarantuneeseen tiliin.
NIST SP 800-46 Rev. 2 selittää, että etäyhteyden turvallisuusohjelmien tulisi ottaa huomioon etätyö, etäyhteys ja omien laitteiden käyttötilanteet, mukaan lukien turvallisuuspolitiikka ja teknologiset hallintakeinot. Tämä on tärkeää, koska yksityisiin sovelluksiin pääsyyn liittyy usein ulkoisia käyttäjiä, hallitsemattomia laitteita ja yhteyksiä organisaation hallinnan ulkopuolelta.
Pienille ja keskikokoisille yrityksille VPN-monimutkaisuus voi muodostua päivittäiseksi operatiiviseksi ongelmaksi. Urakoitsijat saattavat tarvita tilapäistä pääsyä. Käyttäjät saattavat työskennellä henkilökohtaisilta laitteilta. IT-tiimit saattavat käyttää liikaa aikaa asiakkaiden hallintaan sen sijaan, että vähentäisivät riskiä.
Turvallinen selainpääsy yksityisiin sovelluksiin tarjoaa keskittyneemmän mallin. Organisaatio julkaisee erityisiä sovelluksia, hallitsee, kuka voi yhdistää, ja suojaa infrastruktuurin, jossa nämä sovellukset toimivat.
Mikä tekee selainkäytöstä turvallista?
Selaimen käyttö ei ole automaattisesti turvallista. Verkkosivusto, kirjautumissivu tai julkaistu sovellus voi silti olla alttiina hyökkäyksille, jos se on altistettu ilman vahvoja hallintakeinoja.
Turvallinen selainpääsy riippuu kolmesta kerroksesta: identiteetti, sovelluksen laajuus ja infrastruktuurin suojaus. Jokainen kerros vähentää eri osaa etäyhteyden riskeistä.
Identiteetti ja todennus
Identiteettikontrollit päättävät, kuka saa muodostaa yhteyden. Organisaatioiden tulisi käyttää vahvoja salasanakäytäntöjä, monivaiheista todennusta tai MFA:ta sekä tilin lukitussääntöjä altistetuissa päätepisteissä.
RDP-pohjaisissa ympäristöissä verkon tason todennus, eli NLA, on myös tärkeää. NLA todennee käyttäjät ennen kuin täysi RDP-istunto luodaan, mikä auttaa vähentämään palvelinresurssien tarpeetonta altistumista.
Sovellustason pääsynhallinta
Sovellustason pääsynhallinta määrittelee, mitä kukin käyttäjä voi saavuttaa todennuksen jälkeen. Tämä on ero "käyttäjä voi avata kirjanpito-ohjelman" ja "käyttäjä voi selata palvelinta" välillä.
Turvallisen selainkäytön tulisi määrittää sovellukset käyttäjän tai ryhmän mukaan. Rahoitustiimien, ulkoisten kirjanpitäjien, urakoitsijoiden ja ylläpitäjien ei tulisi saada samaa pääsyä oletuksena. Tämä tukee käytännöllistä Nollaluottamus PK-yritysten etäyhteyksiin malli, jossa jokainen käyttäjä, laite ja istunto vahvistetaan ennen pääsyn sallimista.
Palvelin- ja tietosuoja
Siksi turvallisen selainkäytön tulisi sisältää edistynyt turvallisuus ohjaus, kuten bruteforce-suojaus, maantieteellinen suodatus, työaikarajoitukset, käyttöoikeuden hallinta, ransomware-suojaus, hälytykset ja turvallisuuslokit. Ilman näitä kerroksia selain muuttuu yksinkertaisesti toiseksi altistuneeksi etäyhteyspinnaksi.
Turvallisen selainkäytön tulisi siksi sisältää bruteforce-suojauksen, maantieteellisen suodatuksen, työaikarajoitukset, käyttöoikeuden hallinnan, ransomware-suojauksen, hälytykset ja turvallisuuslokit. Ilman näitä kerroksia selain muuttuu yksinkertaisesti toiseksi altistuneeksi etäyhteyspinnaksi.
Mitä ovat parhaat käytännöt turvalliseen selainpääsyyn yksityisiin sovelluksiin?
Turvallinen selainpääsytaktiikka tulisi vähentää altistumista ennen, aikana ja jälkeen jokaisen yhteyden. Seuraavat käytännöt auttavat IT-tiimejä suojaamaan yksityisiä sovelluksia ilman tarpeetonta monimutkaisuutta.
Julkaise vain ne sovellukset, joita käyttäjät tarvitsevat
Sovellusten julkaiseminen tulisi aloittaa roolien kartoituksesta. Jokainen käyttäjä tai ryhmä tulisi antaa pääsy vain niihin sovelluksiin, joita tarvitaan päivittäisessä työssä.
Esimerkiksi ulkopuolinen kirjanpitäjä saattaa tarvita kirjanpito-ohjelman, mutta ei täyttä työpöytää. Tukihenkilö saattaa tarvita yhden hallintakonsolin, mutta ei tiedostopalvelimen pääsyä.
Tämä rajaus vähentää varastettujen käyttöoikeustietojen tai istunnon väärinkäytön aiheuttamaa mahdollista vahinkoa. Vaikka tili olisi vaarantunut, hyökkääjällä on vähemmän järjestelmiä, joihin päästä.
Vältä RDP:n ja etäpalveluiden suoraa altistamista
Suoraan altistuneet etäpalvelut houkuttelevat skannereita, bruteforce-työkaluja ja tunnistetietohyökkäyksiä. RDP:tä ei tulisi jättää auki Internetiin ilman lisäsuojaa.
Microsoft Learn kuvailee Remote Desktop Gatewayta, tai RD Gatewayta, keinona, jolla käyttäjät voivat turvallisesti yhdistää sisäisiin verkkoresursseihin yrityksen palomuurin ulkopuolelta. Tämä porttipohjainen malli auttaa välttämään hallitsematonta suoraa pääsyä sisäisiin järjestelmiin.
Vaikka organisaatio käyttää verkkosivustoa tai porttia, järjestelmänvalvojien tulisi silti vähentää altistettuja portteja, vahvistaa todennusta ja valvoa kirjautumiskäyttäytymistä. Etäyhteyden turvallisuus riippuu koko ketjusta, ei vain ensimmäisestä kirjautumisnäytöstä.
Pakota MFA, NLA ja vahvat salasanakäytännöt
Salasanat yksinään eivät riitä etäyhteyksiin. Uudelleen käytetyt salasanat, kalastelu ja tunnistetietojen täyttö tekevät altistuneista kirjautumissivuista yleisen kohteen.
MFA lisää toisen vahvistusvaiheen. NLA auttaa suojaamaan RDP-ympäristöjä todennuttamalla käyttäjät ennen kuin täysi etäistunto perustetaan. Vahvat salasanasäännöt ja tilin lukituspolitiikat vähentävät mahdollisuutta, että automatisoitu arvailu onnistuu.
Ylläpitäjätilit tarvitsevat tiukempia hallintakäytäntöjä. Ylläpito-oikeuksien tulisi käyttää monivaiheista todennusta, rajoitettuja lähdepaikkoja, omistettuja tunnistetietoja ja tarkempaa seurantaa.
Rajoita pääsyä maan, IP-osoitteen ja työaikojen mukaan
Ei jokaisen organisaation tarvitse hyväksyä etäyhteyksiä kaikista sijainneista. Maantieteelliset rajoitukset ja IP-sallittujen luettelot vähentävät tarpeetonta altistumista.
Esimerkiksi pieni ja keskikokoinen yritys, joka toimii vain Ranskassa, Espanjassa ja Saksassa, voi estää kirjautumisyritykset muista maista. Hallinnoitu palveluntarjoaja voi rajoittaa ylläpitäjän pääsyä luotettuihin toimiston IP-osoitteisiin.
Työaikarajoitukset lisäävät toisen hyödyllisen kerroksen. Jos urakoitsijat työskentelevät maanantaista perjantaihin, klo 08:00–18:00, heidän istuntojensa ei tulisi olla saatavilla klo 02:00 sunnuntaina.
Käytä vähimmäisoikeuksia tiedostoihin, tulostimiin ja järjestelmäresursseihin
Sovelluksen käyttö ei automaattisesti tarkoita turvallista käyttöä. Kun istunto avautuu, käyttäjät voivat silti olla vuorovaikutuksessa paikallisten levyjen, tulostimien, rekisteriavain tai kansioiden kanssa.
Järjestelmänvalvojien tulisi tarkistaa tiedostojärjestelmän oikeudet, tulostinoikeudet, leikepöydän käyttäytyminen ja järjestelmäasetukset. Käyttäjä, joka tarvitsee yhden yksityisen sovelluksen, ei saisi laajoja palvelinoikeuksia.
Vähimmäisoikeudet rajoittavat vaarallisen tilin vaikutusaluetta. Ne myös vähentävät mahdollisuutta, että käyttäjävirhe tai haittaohjelma vaikuttaa ei-liittyviin resursseihin.
Valvo epäonnistuneita kirjautumisia ja ransomware-käyttäytymistä
Toistuvat epäonnistuneet kirjautumiset voivat viitata bruteforce-toimintaan, tunnistetietojen täyttämiseen tai väärin konfiguroituihin skripteihin. Automaattinen estäminen on hyödyllistä, koska hyökkäykset voivat tapahtua nopeammin kuin ylläpitäjät voivat reagoida manuaalisesti. Altistuneiden pääsyreittien osalta IT-tiimien tulisi myös tarkistaa käytännön. brute-force suojelu ohjaus, kuten MFA, IP-rajoitukset, NLA, TLS ja reaaliaikainen havaitseminen.
Ransomware-suojaus kuuluu myös etäyhteysstrategiaan. CISA:n ransomware-ohjeet keskittyvät ransomware-tapahtumien todennäköisyyden ja vaikutuksen vähentämiseen, mikä on suoraan relevanttia, kun yksityiset sovellukset yhdistyvät jaettuihin tiedostoihin tai operatiivisiin tietoihin.
Selaimen käyttö, porttipääsy ja RDP-pääsy tulisi kaikki tuottaa tapahtumia, joita järjestelmänvalvojat voivat tarkastella. Näkyvyys on olennaista nopeaa reagointia ja pitkäaikaista kovettamista varten.
Mikä on toteutuksen tarkistuslista pk-yrityksille?
Ennen yksityisten sovellusten julkaisemista selaimen kautta IT-tiimien tulisi vahvistaa seuraavat hallintatoimenpiteet. Tämä tarkistuslista auttaa vähentämään altistumista, rajoittamaan käyttäjäoikeuksia ja suojaamaan etäyhteyden takana olevia Windows-palvelimia.
Määritä käyttäjät ja sovelluksen käyttöoikeus
Aloita tunnistamalla, kuka tarvitsee etäyhteyden ja miksi. Luo käyttäjäryhmiä työntekijöille, urakoitsijoille, ylläpitäjille ja ulkoisille kumppaneille, ja kartoita sitten jokainen ryhmä heidän roolinsa edellyttämiin sovelluksiin.
Julkaise vain ne sovellukset tai työpöydät, joita kukin ryhmä tarvitsee. Vältä antamasta käyttäjille täydellistä työpöytäkäyttöoikeutta, kun yksi liiketoimintasovellus riittää.
Vahvista todennus
Vaadi monivaiheista todennusta etäkäyttäjiltä, ulkoisilta käyttäjiltä ja järjestelmänvalvojilta. MFA vähentää riskiä, että varastettu tai arvattu salasana johtaa onnistuneeseen tietomurtoon.
Missä etätyöpöytäprotokollaa käytetään, ota käyttöön verkon tason todennus. NLA auttaa todennuksessa ennen kuin täydellinen etäistunto perustetaan.
Vähennä Internet-altistusta
Vältä RDP:n suoraa altistamista Internetille. Käytä hallittuja pääsypisteitä, portteja tai turvallisia verkkopääsymalleja, jotka sisältävät todennuksen, suodattamisen ja valvonnan.
Tarkista altistetut portit ja palvelut säännöllisesti. Poista julkinen pääsy, jota ei enää tarvita.
Rajoita pääsyä kontekstin mukaan
Rajoita etäyhteyksiä maan, luotettavan IP-osoitteen ja työaikojen mukaan. Nämä hallintatoimenpiteet auttavat estämään yhteyksiä, jotka eivät vastaa normaalia liiketoimintaa.
Esimerkiksi urakoitsijan, joka työskentelee työaikana, ei pitäisi pystyä yhdistämään myöhään yöllä tai odottamattomista alueista.
Käytä vähimmäisoikeuksia
Tarkista tiedostojärjestelmän, tulostimen, rekisterin ja leikepöydän käyttöoikeudet. Käyttäjillä tulisi olla vain ne oikeudet, jotka ovat tarpeen työnsä suorittamiseen.
Vähimmäisoikeudet rajoittavat vahinkoa, jonka aiheuttavat vaarantuneet tilit, haittaohjelmat tai käyttäjien virheet.
Ota käyttöön automatisoitu uhkien suojaus
Ota käyttöön bruteforce-suojaus ja automaattinen IP-estäminen. Toistuvat epäonnistuneet kirjautumisyritykset tulisi laukaista nopea puolustustoimi ilman manuaalista väliintuloa.
Ota käyttöön ransomware-suojaus liiketoimintasovelluksia ja -dataa isännöivillä palvelimilla. Etäyhteyden turvallisuuden tulisi suojata sekä kirjautumispiste että sen takana oleva palvelinympäristö.
Tarkista tapahtumat säännöllisesti
Tarkista lokit, hälytykset, estettyjen IP-osoitteiden ja ransomware-tapahtumien säännöllisesti. Turvallisuusnäkymä auttaa IT-tiimejä havaitsemaan epäilyttävän käyttäytymisen ja parantamaan pääsykäytäntöjä ajan myötä.
Dokumentoi muutokset jokaisen tarkastuksen jälkeen. Tämä pitää etäyhteyden hallinnan linjassa käyttäjien, urakoitsijoiden ja liiketoimintatarpeiden kanssa.
Turvallinen selainpääsy vs VPN, VDI ja ZTNA – Vertailutaulukko
VPN, virtuaalinen työpöytäinfrastruktuuri tai VDI, Zero Trust -verkkoyhteys tai ZTNA, ja turvallinen selainpääsy ratkaisevat liittyviä ongelmia eri tavoin.
| Lähestymistapa | Paras sovitus | Pääriski | PK-yrityksen huomio |
|---|---|---|---|
| VPN | Laajaa verkkoyhteyttä tarvitsevat käyttäjät | Enemmän verkon näkyvyyttä kuin tarvitaan | Voidaan lisätä tukea ja päätepisteen monimutkaisuutta |
| VDI | Keskitetyt työpöytäympäristöt | Kustannukset ja hallintokulut | Tehokas, mutta usein raskas yksinkertaiseen sovelluskäyttöön |
| ZTNA | Hienojakoinen pääsy yksityisiin resursseihin | Arkkitehtuuri ja lisensointikompleksisuus | Vahva malli, mutta saattaa olla monimutkainen pienemmille tiimeille |
| Turvallinen selainpääsy | Käyttäjät, jotka tarvitsevat erityisiä yksityisiä sovelluksia | Altistettu portaali, jos ei ole suojattu | Käytännöllinen yhdistettynä vahvaan palvelinturvallisuuteen |
VPN:t ovat hyödyllisiä, kun käyttäjä todella tarvitsee verkkoyhteyden. VDI on hyödyllinen, kun organisaatio haluaa keskittää täydelliset työpöydät. ZTNA on hyödyllinen, kun organisaatio on valmis rakentamaan hienojakoista identiteettiin perustuvaa pääsyä moniin yksityisiin resursseihin.
Turvallinen selainpääsy on usein kevyempi vaihtoehto pk-yrityksille. Käyttäjät avaavat selaimen, todennuttavat itsensä ja pääsevät käsiksi määritettyihin sovelluksiin. Mallista tulee turvallinen, kun isännöintiinfrastruktuuri on suojattu yleisiä etäyhteysuhkia vastaan.
Kuinka TSplus auttaa suojaamaan selainpääsyä yksityisiin sovelluksiin
TSplus Advanced Security suojaa Windows-palvelimet ja istunnot etäyhteyden takana yksityisiin sovelluksiin. Se auttaa vähentämään yleisiä altistumisriskejä, kuten bruteforce-kirjautumisyrityksiä, ei-toivottuja maantieteellisiä yhteyksiä, pääsyä hyväksyttyjen aikojen ulkopuolella, liiallisia käyttöoikeuksia ja ransomware-käyttäytymistä.
Järjestelmänvalvojat voivat käyttää Bruteforce Protectionia, Geographic Protectionia, Working Hoursia, Permissionsia, Ransomware Protectionia, Palomuuria, Hälytyksiä ja Raportteja vahvistaakseen selainpohjaista yksityisen sovelluksen käyttöä. Yhdessä nämä hallintatyökalut auttavat rajoittamaan, kuka yhdistää, milloin pääsy on sallittu ja mitkä uhkat estetään.
Päätelmä
Turvallinen selainpääsy yksityisiin sovelluksiin voi vähentää VPN-riippuvuutta ja rajoittaa verkon altistumista, kun palvelinpuolen suojaus on vahva. TSplus auttaa pk-yrityksiä hallitsemaan, kuka yhdistää, rajoittamaan riskialttiita sijainteja ja aikoja, estämään bruteforce-yritykset, hallitsemaan käyttöoikeuksia ja pysäyttämään ransomware-käyttäytymisen, jotta yksityiset sovellukset pysyvät saatavilla valtuutetuille käyttäjille ilman, että Windows-infrastruktuuri altistuu tarpeettomasti päivittäisten liiketoimintatoimintojen aikana.
)
)
)
