)
)
Turvallinen etäyhteys sivustoihin alkaa jokaisen toimipisteen, varaston, klinikan, vähittäismyymälän, tilan, teollisuuspaikan tai hallitun asiakaspaikan todellisesta pääsyvaatimuksesta. Keskitymme tässä neljään käytännön tarpeeseen: verkosta verkkoon -yhteys, käyttäjä-verkko -pääsy, ylläpitäjä/palvelin -pääsy sekä sovelluskohtainen tai vähimmäisoikeus -pääsy.
Tämä uudelleenmuotoilu muuttaa turvallisen etäyhteysprotokollan laajuutta toimipisteiden tilanteissa käytännön ratkaisujen lähteeksi, joita voit käyttää uudelleen. Sovellamme sitä jopa muutamiin erityisiin tapauksiin. Lopuksi näytämme, mitkä roolit TSplus Advanced Securityillä on hajautettujen etäyhteysympäristöjen suojaamisessa.
Miksi turvalliset etäyhteyspäätökset menevät usein pieleen?
Aloittamalla teknologiasta sen sijaan, että keskityttäisiin pääsyalueeseen
Monet etäyhteysprojektit alkavat tutulla työkalulla sen sijaan, että määriteltäisiin käyttötapaus. Toinen toimisto avataan, uusi varasto otetaan käyttöön tai MSP ottaa asiakkaan käyttöön, ja ensimmäinen reaktio on usein laajentaa yhteyksiä. Tämä lähestymistapa voi toimia, mutta se voi myös antaa etäpaikalle paljon enemmän ulottuvuutta kuin se todellisuudessa tarvitsee.
Miksi yksi "etäpaikka" ei vastaa yhtä "pääsytapaa"?
Se on suunnitteluvika. Kaikki etäpaikat eivät ole yksi ainoa tekninen kategoria. Yksi sivusto tarvitsee jaettua infrastruktuuria ja pysyvää liiketoimintayhteyttä. Toinen tarvitsee vain muutaman käyttäjän pääsyn sisäisiin resursseihin. Kolmas tarvitsee pääasiassa IT-hallintoa. Neljäs tarvitsee vain yhden julkaistun sovelluksen eikä mitään muuta. Kaikkien neljän tapauksen käsittely samalla tavalla luo tarpeetonta luottamusta, enemmän altistumista ja enemmän turvallisuuskuormitusta.
NISTin ohjeet etäyhteyksistä tekevät saman huomion muodollisemmassa muodossa: etäyhteyksien tulisi olla suunniteltu säilyttämään turvallisuus samalla, kun rajoitetaan tarpeetonta altistumista. Toisin sanoen oikea ensimmäinen kysymys ei ole "Mikä yhteysmenetelmä on meille jo tuttu?" vaan "Mitä tarkalleen ottaen tämän sivuston, käyttäjän tai ylläpitäjän on saavutettava?"
Mitkä 4 turvallista etäyhteysmallia ovat tärkeimpiä?
Useimmissa toimipiste- ja sivustoympäristöissä etäyhteys jakautuu neljään käytännön malliin.
Verkosta-verkkoon yhteys
Ensimmäinen on verkkoyhteydestä verkkoyhteyteen pääsy Tämä on oikea ajattelumalli, kun etäpaikan itsensä on käyttäydyttävä kuin osa laajempaa organisaatiota. Paikallisen infrastruktuurin, sivustojärjestelmien, jaettujen resurssien ja keskitettyjen palveluiden on toimittava yhdessä johdonmukaisesti.
Käyttäjä-verkko pääsy
Toinen kattaa käyttäjä-verkko-yhteydet Täällä sivuston ei tarvitse laajentua laajasti, mutta tietyt ihmiset tarvitsevat sitä. Henkilöstö saattaa tarvita useita sisäisiä resursseja etätoimistosta, kotityötilasta, joka on liitetty toimipisteen työnkulkuun, tai liikkuessaan eri sijaintien välillä.
Admin/palvelin pääsy
Kolmannet pääsyt admin/server-tilat . Tämä on IT-toimintoja varten. Päävaatimus on hallittu ylläpito, tuki, vianetsintä ja palvelimen hallinta, ei laaja loppukäyttäjäulottuvuus.
Sovelluskohtainen tai vähimmäisoikeus pääsy
Neljäs on sovelluskohtainen tai vähimmäisoikeus pääsy Tämä malli sopii parhaiten, kun käyttäjät, urakoitsijat tai toimittajat tarvitsevat vain tiettyä sovellusta tai kapeasti määriteltyä resurssia. Se on tiiviisti linjassa nollaluottamuksen periaatteen kanssamme. Yhteenvetona korostamme käyttäjän, laitteen ja istunnon vahvistamisen tärkeyttä sen sijaan, että luotamme polkuun vain siksi, että se on olemassa.
Käyttötapaus 1: Milloin etäpaikan todella tarvitsee turvallista verkosta verkkoon -yhteyttä?
Missä tämä malli sopii ja missä se muuttuu liian laajaksi
Jotkut sivustot tarvitsevat todella laajaa yhteyksien kattavuutta. Varasto saattaa luottaa keskitettyyn ERP:hen samalla kun se käyttää paikallisia tulostimia, skannereita ja operatiivisia laitteita. Vähittäismyyntikonttori saattaa tarvita useita taustajärjestelmiä, jotka on sidottu keskitettyihin palveluihin. Teollinen tai maatalousalue saattaa riippua paikallisista resursseista, jotka on pidettävä synkronoituna ydinjärjestelmien kanssa.
Näissä tapauksissa laaja sivuyhteys voidaan perustella, koska sivu itsessään on osa käyttöympäristöä. Avain on tunnistaa, että tämä on raskain pääsytapa. Se luo laajimman luottamussuhteen, joten se tulisi varata tilanteisiin, joissa kapeampi suunnittelu rikkoisi työnkulun.
Lausuntoturvallisuuden prioriteetit laajennetulle sivuyhteydelle
Tämä on myös paikka, jossa turvallisuusdisipliini on tärkeintä. Kun sivusto on laajasti yhdistetty, segmentointi, lokitus, palomuuripolitiikka ja pääsyrajoitukset tulevat olennaisiksi. TSplus Advanced Security on tässä relevantti, ei siksi että se luo yhteyksiä, vaan koska se auttaa suojaamaan altistuneita pääsyreittejä ja herkkiä Windows-pohjaisia infrastruktuureja ominaisuuksilla kuten palomuuri, hakkereiden IP-suojaus, maantieteellinen suojaus, bruteforce-suojaus, turvalliset istunnot ja käyttöoikeudet.
Hyvä sääntö on yksinkertainen: jos etäpaikan käyttäjät tarvitsevat todella vain yhtä tai kahta sovellusta, älä oletusarvoisesti myönnä täyttä luottamusta koko sivustolle. Se on yleensä liian paljon suunnittelua liian vähäiseen tarpeeseen.
Käyttötapa 2: Milloin turvallinen käyttäjä-verkko pääsy on todellinen tarve?
Tyypilliset toimisto- ja hybridityöskentelytilanteet
Joskus sivukonttorin tai toissijaisen sijainnin ei tarvitse laajentua lainkaan. Sen sijaan kourallinen työntekijöitä tarvitsee pääsyn useisiin sisäisiin resursseihin. Se on eri ongelma. Se on käyttäjätason etäyhteys, ei sivustotason etäyhteys.
Tämä malli on yleinen hybriditoiminnoissa. Alueellinen johtaja, talousvastaava tai pieni hallintotiimi saattaa tarvita useita sisäisiä työkaluja satelliittitoimistosta. Oikea muotoilu tässä määräytyy yksilöllisen identiteetin, laitteen, istunnon ja politiikan mukaan, ei koko sivustoa luottamuksellisena laajennuksena käsittelemällä.
Missä käyttäjäkohtainen sopii paremmin kuin sivustokohtainen laajennus
Se ero on tärkeä, koska käyttäjän ja verkon välinen pääsy voi silti laajentua liian suureksi. Jos käyttäjä tarvitsee todella vain yhden sovelluksen, laaja sisäinen pääsy lisää riskiä ilman, että se tuo lisäarvoa. Olemme vahvoja puolestapuhujia altistumisen vähentämisessä ja vähimmän oikeuden soveltamisessa, kun se on mahdollista, erityisesti pk-yrityksille ja hajautetuille ympäristöille.
Käyttäjätason etäyhteyden turvallisuusprioriteetit
TSplus Advanced Security tukee tätä mallia lisäämällä hallintaa sen ympärille, kuka voi muodostaa yhteyden, mistä ja millä ehdoilla. Maantieteellinen suojaus voi rajoittaa pääsyä yksityisiin ja valkoisiin IP-osoitteisiin tai valittuihin alueisiin. Bruteforce Protection voi automaattisesti estää ongelmalliset IP-osoitteet toistuvien epäonnistuneiden kirjautumisten jälkeen. Tämä auttaa muuttamaan laajan "etäkäyttäjä" ongelman hallitummaksi, politiikkaohjatuksi pääsyreitiksi.
Käyttötapa 3: Milloin turvallinen ylläpito- tai palvelin pääsy on todellinen tarve?
Tyypilliset IT- ja MSP-skenaariot
Suuri osa niin sanotuista etäpaikkayhteyshankkeista on itse asiassa IT-hallintoprojekteja. MSP:n on ylläpidettävä asiakaspalvelinta. Sisäisen ylläpitäjän on päivitettävä etäisäntä. Apupalvelun teknikon on ratkaistava Windows-istuntokäyttöympäristö. Mikään näistä ei vaadi tavallisille käyttäjille tai koko sivustolle samaa pääsyn tasoa.
Miksi ylläpito-oikeuden tulisi pysyä erillään tavallisista käyttäjäoikeuksista
Admin-oikeuksia tulisi käsitellä omana kategoriana, koska ne ovat luonteeltaan etuoikeutettuja. Turvallisin suunnittelu on yleensä se, joka pitää admin-liikenteen erillään tavallisista käyttäjätyönkuluista, rajoittaa, mistä adminit voivat muodostaa yhteyden, ja kovettaa sisäänkäyntireittiä paljon aggressiivisemmin kuin tavallinen käyttäjäkanava.
Ovelasti suunnitellut suojausominaisuudet optimaalista suojaa varten
Tämä on yksi vahvimmista kehotuksista Advanced Security -ohjelmistollemme ja sen ominaisuuksille. Tuotteen Bruteforce Protection on erityisesti suunniteltu seuraamaan Windowsin epäonnistuneita kirjautumisyrityksiä ja estämään hyökkäävät IP-osoitteet. Sen palomuuri, käyttöoikeudet, turvalliset istunnot ja raportit ovat suoraan hyödyllisiä, kun kohteena on julkisesti saavutettavissa oleva Windows-palvelin tai etähallintapolku.
Etäkäytön etuoikeutettujen turvallisuusprioriteetit
Tämä on myös paikka, jossa kaikki tuotteidemme ominaisuudet eivät päde samalla tavalla. Esimerkiksi Luotettavat laitteet toimii yhteyksien kanssa TSplus Remote Access Web Portaalista. Huomaathan, että asiakirjamme mainitsevat, että Web Portaali ei ole yhteensopiva HTML5-istuntojen tai iOS- ja Android-laitteiden kanssa, jotka piilottavat isäntänimiä. Tämä on tärkeää suunniteltaessa laitteiden luottamuksen valvontaa ylläpito-työnkuluissa.
Oletko vianetsimässä RDP:tä tai turvaamassa ylläpitoportteja haaratoimistoissa ja sivustoilla? Tiesitkö? Kysy meiltä, niin aikataulutamme yhdessä opastetun esittelyn TSplus Advanced Security -ratkaisusta.
Käyttötapa 4: Milloin sovellukseen perustuva tai vähimmäisoikeus pääsy on parempi vastaus?
Tyypilliset toimipiste-, myyjä- ja tehtäväpohjaiset skenaariot
Tämä on usein puhtain malli ja sellainen, jota monet ympäristöt ohittavat. Jos toimipisteen työntekijä tarvitsee vain ERP-näytön, aikataulutusjärjestelmän, kirjanpitotyökalun tai muun julkaistun Windows-sovelluksen, laaja etäyhteys on usein tarpeeton. Oikea vastaus ei ole "enemmän verkkoa". Se on "vähemmän pääsyä, toimitettuna paremmin."
Miksi rajattu pääsy vähentää riskiä
Tässä on paikka, jossa toinen tuote valikoimastamme tulee erittäin relevantiksi. TSplus Remote Access tukee turvallista verkkoportaalia ja sovellusten julkaisemista, mikä voi antaa käyttäjille mahdollisuuden päästä hallittuun sovellukseen tai työpöytäkokemukseen ilman laajemman ympäristön avaamista. Riippumatta toimitustyökalusta itsestään, sovellukseen perustuva pääsy on oikea suunnitteluratkaisu tähän tilanteeseen.
Julkaistujen ja rajoitetun pääsyn turvallisuustavoitteet
TSplus Advanced Security pysyy keskeisenä, koska jopa kapeampi pääsyoikeusmalli tarvitsee silti suojaa. Julkiset sovelluspalvelimet ja verkkopääsyreitit ovat edelleen hyökkäyskohteita. Lue turvallisesta verkkoväylästämme lisää bruteforce-suojauksesta ja maantieteellisestä IP-suodattamisesta. Ne ovat erityisen tärkeitä altistuneille RDP- ja verkkoportaali-palveluille ja ovat juuri sitä koventamista, jota haaraorientoitunut sovellustoimitus tarvitsee.
Vähiten oikeuksia antava pääsy on myös oikea malli myyjille, urakoitsijoille ja tilapäisille kumppaneille. Jos kolmannella osapuolella on tarve yhdelle sisäiselle työkalulle, yhdelle ylläpitoliittymälle tai yhdelle aikarajoitetulle työnkululle, heidän antaminen laajempaan pääsyyn kuin se ei ole kätevää. Se on liiallista altistumista.
Miten voit valita turvallisimman mallin jokaiselle etäpaikalle?
Käytännöllinen päätöksentekokehys alkaa neljästä kysymyksestä.
Ensinnäkin, mitä on saavutettava?
Jos vastaus on "jaettu sivustoinfrastruktuuri ja useat sisäiset järjestelmät", verkko-verkko-yhteys voi olla perusteltu. Jos vastaus on "muutama sisäinen resurssi valituille käyttäjille", käyttäjä-verkko-yhteys on lähempänä. Jos vastaus on "palvelimen hallinta ja ylläpito", kyseessä on ylläpitäjän pääsyongelma. Jos vastaus on "yksi sovellus tai yksi tehtävä", sovelluskohtaisen tai vähimmäisoikeuden pääsyn tulisi ohjata suunnittelua.
Toinen, kuka tarvitsee pääsyn?
Koko toimipiste, pieni käyttäjäryhmä, IT-tiimi ja ulkoinen toimittaja eivät saisi periä samaa luottamuksen mallia.
Kolmanneksi, kuinka paljon altistumista on hyväksyttävää?
Mitä laajempi ulottuvuus, sitä vahvempia kompensoivia kontrollien on oltava. TSplusin oma turvallisuusasema suosii johdonmukaisesti vähäisempää altistumista, vahvempaa identiteettiä, politiikan täytäntöönpanoa ja valvontaa laajojen oletusluottamusten sijaan.
Neljäs, minkälaista tukitaakkaa ympäristö oikeastaan voi kestää?
Pienet IT-tiimit ja MSP:t tarvitsevat suunnitelmia, jotka ovat turvallisia mutta hallittavissa. Tämä on yksi syy, miksi TSplus sijoittaa Advanced Security käytännön suojan ympärille ilman tarpeetonta monimutkaisuutta.
Missä TSplus Advanced Security sopii parhaiten?
Suojele altistuneita pääsyreittejä
TSplus Advanced Security on keskeinen apu turvaamaan valitsemasi etäpaikan mallia sen ominaisuuksilla:
Hakkerin IP-suojaus,
Maantieteellinen suojaus,
Bruteforce Protection
Rajoita työaikoja
Palomuuri,
Ilmoitukset,
Raportit,
Ransomware-suojaus,
Oikeudet,
Turvalliset istunnot
ja luotettavat laitteet.
Politiikan täytäntöönpano geon, IP:n ja istuntokontrollien avulla
Tämä 360-työkalu on rakennettu suojaamaan hajautettuja Windows-pohjaisia ympäristöjä, joissa on altistettuja etäyhteysreittejä. Sen pika-aloitusdokumentaatio asettaa Ransomware Protectionin, Bruteforce Protectionin ja Geographic Protectionin keskiöön alkuasetuksessa, mikä heijastaa tuotteen käytännön koventamiseen keskittyvää luonteenpiirrettä. Haara- ja toissijaisille sivustoille tämä yhdistelmä on hyödyllinen, koska pääriskit ovat usein toistuvia kirjautumishyökkäyksiä, liian laajoja lähdeyhteyksiä, istunnon väärinkäyttöä ja liiketoimintavaikutuksia, joita ransomware aiheuttaa saavutettavissa olevissa järjestelmissä.
Vahvistaminen hajautetuissa ympäristöissä kiristysohjelmien ja väärinkäytösten varalta
Ransomware-suojaus on erityisen tärkeää hajautetuissa ympäristöissä. Se havaitsee, estää ja ehkäisee ransomwarea käyttäen sekä staattista että käyttäytymisanalyysiä, ja se voi reagoida heti, kun se havaitsee ransomwarea istunnossa. Tämä on arvokasta, kun vaarantunut päätepiste, etäkäyttäjä tai toimipisteen työnkulku muuttuu keskeisten järjestelmien käännepisteeksi.
Todelliset etäpaikk esimerkit
[A] A vähittäiskaupan haara usein sopii vain sovellusmalliin. Henkilöstö tarvitsee yleensä rajoitetun joukon liiketoimintatyökaluja, ei laajaa verkon kattavuutta. Turvallisempi suunnittelu on usein julkaistu pääsy plus kovetettu sisäänkäynti.
[A] A varasto tai teollisuusalue on todennäköisempää oikeuttaa laaja yhteys, koska paikallisten laitteiden ja keskitettyjen järjestelmien on tarpeen koordinoida jatkuvasti. Silti ylläpito-oikeuden tulisi pysyä erillään ja tiukasti hallinnassa.
[A] A satelliittiterveydenhuollon toimisto yleensä tarvitsee vahvempaa rajapintaa. Eri roolit tarvitsevat erilaisia järjestelmiä, ja laaja pääsy voi aiheuttaa sekä turvallisuus- että vaatimustenmukaisuusongelmia. Käyttäjätason tai sovellustason pääsy on usein parempi lähtökohta kuin yleinen yhteys.
An MSP-hallinnoima asiakaspaikka on yleensä ensin admin/serverin pääsyongelma. Palveluntarjoajalla on oltava turvallinen, auditoitava tukireitti, ei avoimen laaja luottamus koko asiakasympäristöön.
Lopuksi: Aloita käyttöoikeusalueesta ja varmista se sitten kunnolla
Etäyhteyksissä ei ole vain yhtä ongelmaa ja yhtä ratkaisua. Jotkin sivustot tarvitsevat laajaa yhteyttä. Jotkin tarvitsevat pääsyn valituille käyttäjille. Jotkin tarvitsevat etuoikeutettuja ylläpitäjäpolkuja. Jotkin tarvitsevat vain yhden julkaistun sovelluksen tai tiukasti rajatun työnkulun.
Siksi paras turvallisen suunnittelun kysymys ei ole "Mikä turvallinen etäyhteysprotokolla kuulostaa vahvimmalta?" vaan "Mikä on pienin käytännöllinen pääsytapa, joka silti mahdollistaa tämän etäpaikan toiminnan?" Kun tämä on vastattu, turvallisuus muuttuu selkeämmäksi ja helpommaksi ylläpitää.
TSplus Advanced Security sopii hyvin tähän strategiaan. Se ei vaadi sinua luottamaan jokaiseen etäsiteeseen yhtä paljon. Se auttaa sinua vahvistamaan valitun polun asianmukaisilla, sopivilla ja hyvin kohdistetuilla suojatoimilla jaettujen ympäristöjen osalta, jotka ovat tärkeimpiä käytössäsi.
UKK
1. Mikä on paras tapa suojata etäyhteydet etäpaikalle?
Paras tapa on sovittaa pääsyoikeusmalli todelliseen tarpeeseen. Jotkut etäpaikat tarvitsevat laajaa yhteyksien kattavuutta, mutta monet tarvitsevat vain käyttäjätason, ylläpitäjätason tai sovellustason pääsyn. Turvallisuus paranee, kun pääsyn laajuutta vähennetään ennen kuin hallintatoimia lisätään.
2. Tarvitseeko jokainen toimipiste täydellistä verkosta verkkoon -yhteyttä?
Ei. Monet toimipisteet tarvitsevat vain muutaman sisäisen sovelluksen tai hallitun ylläpitäjän polun. Laajan luottamuksen myöntäminen koko sivustolle lisäisi riskiä ja monimutkaisuutta ilman, että se parantaisi käyttäjäkokemusta.
3. Milloin käyttäjän ja verkon pääsy on parempi kuin täydellinen sivuston laajuinen yhteys?
On parempi, kun valituilla käyttäjillä on tarve useisiin sisäisiin resursseihin, mutta itse sivuston ei tarvitse toimia täydellisenä verkko-laajennuksena. Tämä pitää luottamuksen tiiviimmin sidottuna identiteettiin ja politiikkaan.
4. Milloin sovellukseen perustuva pääsy on parempi valinta?
Sovelluskohtainen pääsy on usein paras, kun käyttäjät tarvitsevat vain yhtä tai muutamaa liiketoimintasovellusta laajan verkkoyhteyden sijaan. Se vähentää liiallista altistumista ja sopii paremmin vähimmäisoikeusmalliin.
5. Miten TSplus Advanced Security auttaa suojaamaan etäpaikan pääsyä?
TSplus Advanced Security lisää hallintatyökaluja, kuten maantieteellinen suojaus, bruteforce-suojaus, palomuuri, käyttöoikeudet, turvalliset istunnot, luotetut laitteet ja ransomware-suojaus, auttaakseen vahvistamaan etäyhteyksien reittejä ja hajautettuja Windows-ympäristöjä.
)
)
)
