)
)
La connectivité sécurisée des sites distants commence par le besoin réel d'accès de chaque succursale, entrepôt, clinique, point de vente, ferme, site industriel ou emplacement client géré. Ici, nous le centrons autour de quatre besoins pratiques : connectivité réseau à réseau, accès utilisateur au réseau, accès administrateur/serveur, et accès uniquement aux applications ou accès avec le minimum de privilèges.
Ce recadrage change la portée du protocole d'accès à distance sécurisé pour les situations de succursales en une source de solutions pratiques que vous pouvez réutiliser. Nous l'appliquons même à quelques cas spécifiques. Nous terminerons en montrant les rôles que joue TSplus Advanced Security dans la protection des environnements d'accès à distance distribués.
Pourquoi les décisions concernant la connectivité sécurisée des sites distants échouent-elles souvent ?
Commencer par la technologie au lieu de la portée d'accès
De nombreux projets d'accès à distance commencent par un outil familier au lieu d'un cas d'utilisation défini. Un bureau secondaire s'ouvre, un nouvel entrepôt est mis en service, ou un MSP intègre un site client, et la première réaction est souvent d'étendre une connectivité large. Cette approche peut fonctionner, mais elle peut également donner à un site distant une portée bien plus grande que ce dont il a réellement besoin.
Pourquoi un « site distant » n'est-il pas égal à un « modèle d'accès » ?
C'est une erreur de conception. Tous les sites distants ne constituent pas une seule catégorie technique. Un site a besoin d'une infrastructure partagée et d'une connectivité persistante aux lignes de métier. Un autre n'a besoin que de quelques utilisateurs pour accéder aux ressources internes. Un autre a principalement besoin d'administration informatique. Un autre a besoin d'une application publiée et rien d'autre. Traiter ces quatre cas de la même manière crée une confiance inutile, plus d'exposition et plus de charges de sécurité.
Les recommandations du NIST sur l'accès à distance soulignent le même point en des termes plus formels : l'accès à distance doit être conçu pour préserver la sécurité tout en limitant l'exposition inutile. En d'autres termes, la bonne première question n'est pas « Quelle méthode de connexion connaissons-nous déjà ? » mais « Que doit exactement atteindre ce site, cet utilisateur ou cet administrateur ? »
Quels sont les 4 modèles de connectivité à distance sécurisés qui comptent le plus ?
Pour la plupart des environnements de bureaux secondaires et de succursales, la connectivité à distance se divise en quatre modèles pratiques.
Connectivité de réseau à réseau
Le premier est accès réseau à réseau C'est le bon modèle mental lorsque le site distant lui-même doit se comporter comme une partie de l'organisation plus large. L'infrastructure locale, les systèmes du site, les ressources partagées et les services centraux doivent tous fonctionner ensemble de manière cohérente.
Accès utilisateur au réseau
Le second englobe connexions utilisateur-réseau Ici, le site n'a pas besoin d'une large extension, mais certaines personnes en ont besoin. Le personnel peut avoir besoin de plusieurs ressources internes depuis un bureau distant, un espace de travail à domicile lié à un flux de travail de succursale, ou lors de déplacements entre différents lieux.
Accès administrateur/serveur
Le troisième accès installations administratives/serveur Ceci est pour les opérations informatiques. L'exigence principale est la maintenance contrôlée, le support, le dépannage et l'administration des serveurs, et non une large portée pour les utilisateurs finaux.
Accès uniquement à l'application ou accès avec le minimum de privilèges
Le quatrième est accès uniquement à l'application ou accès avec le minimum de privilèges Ce modèle convient le mieux lorsque les utilisateurs, les entrepreneurs ou les fournisseurs n'ont besoin que d'une application spécifique ou d'une ressource étroitement définie. Il s'aligne étroitement avec notre préférence pour le Zero Trust. Dans l'ensemble, nous soulignons l'importance de vérifier l'utilisateur, le dispositif et la session au lieu de faire confiance à un chemin simplement parce qu'il existe.
Cas d'utilisation 1 : Quand un site distant a-t-il vraiment besoin d'une connectivité réseau à réseau sécurisée ?
Où ce modèle s'applique et où il devient trop large
Certains sites ont réellement besoin d'une connectivité étendue. Un entrepôt peut s'appuyer sur un ERP central tout en utilisant également des imprimantes, des scanners et des dispositifs opérationnels locaux. Une succursale de vente au détail peut avoir besoin de plusieurs systèmes de back-office liés à des services centraux. Un site industriel ou agricole peut dépendre d'actifs locaux qui doivent rester synchronisés avec les systèmes centraux.
Dans ces cas, une connectivité large du site peut être justifiée car le site lui-même fait partie de l'environnement opérationnel. La clé est de reconnaître que c'est le modèle d'accès le plus lourd. Il crée la relation de confiance la plus large, donc il devrait être réservé aux cas où un design plus étroit briserait le flux de travail.
Priorités de sécurité pour une connectivité de site étendue
C'est également ici que la discipline de sécurité est la plus importante. Une fois qu'un site est largement connecté, la segmentation, la journalisation, la politique de pare-feu et les restrictions d'accès deviennent essentielles. TSplus Advanced Security est pertinent ici non pas parce qu'il crée la connectivité, mais parce qu'il aide à protéger les chemins d'accès exposés et l'infrastructure Windows sensible avec des fonctionnalités telles que le pare-feu, la protection contre les IP des hackers, la protection géographique, la protection contre les attaques par force brute, les sessions sécurisées et les autorisations.
Une bonne règle est simple : si les utilisateurs du site distant n'ont vraiment besoin que d'une ou deux applications, ne pas par défaut faire confiance à l'ensemble du site. C'est généralement trop de conception pour trop peu de besoin.
Cas d'utilisation 2 : Quand l'accès sécurisé utilisateur-réseau est-il réellement nécessaire ?
Scénarios de travail typiques en succursale et hybride
Parfois, la succursale ou le site secondaire n'a pas besoin d'une large extension. Au lieu de cela, une poignée d'employés a besoin d'accéder à plusieurs ressources internes. C'est un problème différent. Il s'agit d'un accès à distance au niveau des utilisateurs, et non d'un accès à distance au niveau du site.
Ce modèle est courant dans les opérations hybrides. Un responsable régional, un responsable financier ou une petite équipe administrative peuvent avoir besoin de plusieurs outils internes depuis un bureau satellite. Le bon design ici est façonné par l'identité individuelle, l'appareil, la session et la politique, et non en considérant l'ensemble du site comme une extension de confiance.
Là où les ajustements spécifiques à l'utilisateur conviennent mieux qu'une extension générale du site.
Cette distinction est importante car l'accès utilisateur-réseau peut encore devenir trop large. Si un utilisateur a vraiment besoin d'une seule application, accorder un large accès interne augmente le risque sans ajouter de valeur. Nous sommes de fervents défenseurs de la réduction de l'exposition et de l'application du principe du moindre privilège lorsque cela est possible, en particulier pour les PME et les environnements distribués.
Priorités de sécurité pour l'accès à distance au niveau utilisateur
TSplus Advanced Security prend en charge ce modèle en ajoutant des contrôles sur qui peut se connecter, d'où et dans quelles conditions. La protection géographique peut restreindre l'accès aux adresses IP privées et sur liste blanche ou aux régions choisies. La protection contre les attaques par force brute peut automatiquement mettre sur liste noire les IP offensantes après plusieurs échecs de connexion. Cela aide à transformer un large problème d'« utilisateur distant » en un chemin d'accès plus contrôlé et basé sur des politiques.
Cas d'utilisation 3 : Quand l'accès sécurisé à l'administration ou au serveur est-il réellement nécessaire ?
Scénarios typiques pour les TI et les MSP
Une grande partie des projets de connectivité de site distant dits sont en réalité des projets d'administration informatique. Un MSP doit maintenir un serveur client. Un administrateur interne doit mettre à jour un hôte distant. Un technicien de support doit résoudre des problèmes dans un environnement de session Windows. Rien de tout cela ne nécessite de donner aux utilisateurs ordinaires ou à l'ensemble du site le même niveau d'accès.
Pourquoi l'accès administrateur devrait rester séparé de l'accès utilisateur ordinaire
L'accès administrateur doit être considéré comme sa propre catégorie car il est privilégié par nature. La conception la plus sûre est généralement celle qui maintient le trafic administrateur séparé des flux de travail des utilisateurs ordinaires, limite d'où les administrateurs peuvent se connecter et renforce le chemin d'entrée de manière beaucoup plus agressive qu'un canal utilisateur standard.
Fonctionnalités de sécurité habilement conçues pour une protection optimale
Ceci est l'un des arguments les plus forts en faveur de notre logiciel Advanced Security et de ses fonctionnalités. La protection contre les attaques par force brute du produit est explicitement conçue pour surveiller les tentatives de connexion échouées sur Windows et mettre sur liste noire les adresses IP attaquantes. Son pare-feu, ses autorisations, ses sessions sécurisées et ses rapports sont directement utiles lorsque la cible est un serveur Windows accessible publiquement ou un chemin d'administration à distance.
Priorités de sécurité pour l'accès à distance privilégié
C'est également ici que toutes les fonctionnalités de nos produits ne s'appliquent pas de la même manière. Par exemple, les Appareils de confiance fonctionnent avec les connexions du Portail Web TSplus Remote Access. Vous constaterez en fait que nos notes de documentation indiquent que le Portail Web est incompatible avec les sessions HTML5 ou les appareils iOS et Android qui masquent les noms d'hôte. Cela a de l'importance lors de la planification de l'application de la confiance des appareils pour les flux de travail des administrateurs.
Avez-vous des problèmes avec RDP ou sécurisez-vous les points d'entrée administratifs dans les succursales et les sites secondaires ? Le saviez-vous ? Demandez-nous et ensemble nous programmerons une démonstration guidée de TSplus Advanced Security.
Cas d'utilisation 4 : Quand l'accès uniquement à l'application ou l'accès avec le moins de privilèges est-il la meilleure réponse ?
Scénarios typiques basés sur des branches, des fournisseurs et des tâches
C'est souvent le modèle le plus propre et celui que de nombreux environnements négligent. Si un employé d'une succursale n'a besoin que d'un écran ERP, d'un système de planification, d'un outil de comptabilité ou d'une autre application Windows publiée, un large accès à distance est souvent inutile. La bonne réponse n'est pas "plus de réseau". C'est "moins d'accès, délivré mieux."
Pourquoi l'accès limité réduit le risque
C'est ici qu'un autre produit de notre suite devient très pertinent. TSplus Remote Access prend en charge un portail Web sécurisé et la publication d'applications, ce qui permet aux utilisateurs d'accéder à une expérience d'application ou de bureau contrôlée sans ouvrir l'environnement plus large. Quel que soit l'outil de livraison lui-même, l'accès uniquement aux applications est le bon choix de conception pour ce scénario.
Priorités de sécurité pour l'accès publié et limité
TSplus Advanced Security reste central car même un modèle d'accès plus restreint nécessite toujours une protection. Les serveurs d'applications accessibles au public et les chemins d'accès web sont toujours des surfaces d'attaque. Lisez notre article sur la passerelle web sécurisée pour en savoir plus sur la protection contre les attaques par force brute et le filtrage géographique des IP. Ils sont particulièrement importants pour les services RDP et de portail web exposés et sont exactement le type de durcissement dont la livraison d'applications orientée branche a besoin.
L'accès avec le moindre privilège est également le bon modèle pour les fournisseurs, les entrepreneurs et les partenaires temporaires. Si un tiers a besoin d'un outil interne, d'une interface de maintenance ou d'un flux de travail limité dans le temps, leur accorder un accès plus large que cela n'est pas pratique. C'est une surexposition.
Comment pouvez-vous choisir le modèle le plus sécurisé pour chaque site distant ?
Un cadre décisionnel pratique commence par quatre questions.
D'abord, qu'est-ce qui doit être atteint ?
Si la réponse est « infrastructure de site partagé et plusieurs systèmes internes », la connectivité réseau à réseau peut être justifiée. Si la réponse est « quelques ressources internes pour des utilisateurs sélectionnés », l'accès utilisateur au réseau est plus approprié. Si la réponse est « gestion et maintenance des serveurs », il s'agit d'un problème d'accès administrateur. Si la réponse est « une application ou une tâche », l'accès uniquement à l'application ou l'accès avec le minimum de privilèges devrait guider la conception.
Deuxièmement, qui a besoin d'accès ?
Une succursale entière, un petit groupe d'utilisateurs, une équipe informatique et un fournisseur externe ne devraient pas hériter du même modèle de confiance.
Troisièmement, quelle exposition est acceptable ?
Plus la portée est large, plus les contrôles compensatoires doivent être forts. La position de sécurité de TSplus privilégie systématiquement une exposition réduite, une identité plus forte, l'application des politiques et la surveillance plutôt qu'une confiance par défaut étendue.
Quatrième, quel fardeau de support l'environnement peut-il réellement supporter ?
Les petites équipes informatiques et les MSP ont besoin de conceptions qui sont sécurisées mais gérables. C'est une des raisons pour lesquelles TSplus positionne Advanced Security autour d'une protection pratique sans complexité inutile.
Où s'intègre le mieux TSplus Advanced Security ?
Protéger les chemins d'accès exposés
TSplus Advanced Security est essentiel pour aider à sécuriser le modèle de site distant que vous choisissez avec ses fonctionnalités :
Protection des IP des hackers,
Protection géographique,
Protection contre les attaques par force brute,
Restreindre les heures de travail,
Pare-feu,
Alertes,
Rapports,
Protection contre les ransomwares,
Permissions,
Sessions sécurisées
et appareils de confiance.
Application de la politique avec des contrôles géographiques, IP et de session
Cet outil 360 est conçu pour protéger les environnements Windows distribués avec des chemins d'accès à distance exposés. Sa documentation de démarrage rapide place la protection contre les ransomwares, la protection contre les attaques par force brute et la protection géographique au centre de la configuration initiale, ce qui reflète l'accent pratique du produit sur le renforcement de la sécurité. Pour les sites secondaires et les succursales, cette combinaison est utile car les principaux risques sont souvent des attaques de connexion répétées, un accès source trop large, un usage abusif des sessions et l'impact commercial des ransomwares se propageant à travers les systèmes accessibles.
Renforcer les environnements distribués contre les ransomwares et les abus
La protection contre les ransomwares est particulièrement pertinente dans les environnements distribués. Elle détecte, bloque et prévient les ransomwares, en utilisant à la fois une analyse statique et comportementale, et peut réagir dès qu'elle détecte un ransomware dans une session. Cela est précieux lorsqu'un point de terminaison compromis, un utilisateur distant ou un flux de travail de succursale devient un point de pivot vers les systèmes centraux.
Exemples de sites distants dans le monde réel
A succursale de détail s'adapte souvent au modèle uniquement applicatif. Le personnel a généralement besoin d'un ensemble limité d'outils métiers, et non d'une large portée réseau. La conception plus sûre est souvent un accès publié plus des points d'entrée renforcés.
A entrepôt ou site industriel est plus susceptible de justifier une connectivité étendue car les appareils locaux et les systèmes centraux nécessitent une coordination continue. Même dans ce cas, l'accès administrateur doit rester séparé et étroitement contrôlé.
A bureau de santé satellite nécessite généralement une portée plus stricte. Différents rôles nécessitent différents systèmes, et un accès large peut créer à la fois des problèmes de sécurité et de conformité. L'accès au niveau utilisateur ou au niveau de l'application est souvent un meilleur point de départ qu'une connectivité générale.
Un site client géré par MSP est généralement un problème d'accès administrateur/serveur en premier lieu. Le fournisseur a besoin d'un chemin de support sécurisé et auditable, et non d'une confiance large et indéfinie dans l'ensemble de l'environnement client.
Pour conclure : commencez par le périmètre d'accès, puis sécurisez-le correctement.
La connectivité des sites distants n'est pas un problème avec une seule réponse. Certains sites ont besoin d'une connectivité large. Certains ont besoin d'un accès pour des utilisateurs sélectionnés. Certains ont besoin de chemins d'administration privilégiés. Certains n'ont besoin que d'une seule application publiée ou d'un flux de travail étroitement défini.
C'est pourquoi la meilleure question de conception sécurisée n'est pas « Quel protocole d'accès à distance sécurisé semble le plus solide ? » mais « Quel est le plus petit modèle d'accès pratique qui permet encore à ce site distant de fonctionner ? » Une fois cela répondu, la sécurité devient plus claire et plus facile à maintenir.
TSplus Advanced Security s'intègre bien dans cette stratégie. Il ne vous demande pas de faire confiance à chaque site distant de la même manière. Il vous aide à renforcer le chemin choisi avec des mesures de protection pertinentes, appropriées et bien ciblées pour les environnements distribués qui comptent le plus pour votre utilisation.
FAQs
1. Quelle est la meilleure façon de sécuriser les connexions à distance pour un site distant ?
La meilleure façon est d'adapter le modèle d'accès au besoin réel. Certains sites distants ont besoin d'une large connectivité, mais beaucoup n'ont besoin que d'un accès au niveau utilisateur, au niveau administrateur ou uniquement aux applications. La sécurité s'améliore lorsque la portée d'accès est réduite avant l'ajout de contrôles.
2. Chaque bureau de branche a-t-il besoin d'une connectivité réseau à réseau complète ?
Non. De nombreuses branches n'ont besoin que de quelques applications internes ou d'un chemin administrateur contrôlé. Accorder une confiance large à l'ensemble du site augmenterait le risque et la complexité sans améliorer le résultat pour l'utilisateur.
3. Quand l'accès utilisateur-réseau est-il préférable à une connectivité complète sur tout le site ?
Il est préférable que certains utilisateurs sélectionnés aient besoin de plusieurs ressources internes, mais que le site lui-même n'ait pas besoin de fonctionner comme une extension complète du réseau. Cela maintient la confiance plus étroitement liée à l'identité et à la politique.
4. Quand l'accès uniquement à l'application est-il le meilleur choix ?
L'accès uniquement à l'application est souvent préférable lorsque les utilisateurs ont besoin d'une ou de quelques applications professionnelles plutôt que d'une large portée réseau. Cela réduit la surexposition et s'aligne mieux sur le principe du moindre privilège.
5. Comment TSplus Advanced Security aide-t-il à protéger l'accès aux sites distants ?
TSplus Advanced Security ajoute des contrôles tels que la protection géographique, la protection contre les attaques par force brute, le pare-feu, les autorisations, les sessions sécurisées, les appareils de confiance et la protection contre les ransomwares pour aider à renforcer les chemins d'accès à distance et les environnements Windows distribués.
)
)
)
