)
)
Sigurna udaljena povezanost lokacija započinje stvarnim zahtjevom za pristupom svake podružnice, skladišta, klinike, maloprodajnog objekta, farme, industrijskog mjesta ili upravljane korisničke lokacije. Ovdje se fokusiramo na četiri praktične potrebe: povezanost između mreža, pristup korisnika mreži, pristup administratora/servera i pristup samo aplikacijama ili pristup s najmanjim privilegijama.
Ova preformulacija mijenja opseg sigurnog protokola za daljinski pristup u situacijama podružnica u izvor praktičnih rješenja koja možete ponovo koristiti. Čak ga primjenjujemo na nekoliko specifičnih slučajeva. Završit ćemo prikazivanjem uloga TSplus Advanced Security u zaštiti distribuiranih okruženja za daljinski pristup.
Zašto odluke o sigurnoj povezanosti udaljenih lokacija često pogriješe?
Počinjanje s tehnologijom umjesto opsega pristupa
Mnogi projekti daljinskog pristupa započinju s poznatim alatom umjesto s definiranim slučajem korištenja. Otvara se sekundarni ured, novi skladište postaje aktivno ili MSP uključuje korisničko mjesto, a prva reakcija često je proširiti široku povezanost. Taj pristup može funkcionirati, ali također može dati daljinskom mjestu daleko veći doseg nego što mu zapravo treba.
Zašto jedan "udaljeni site" ne znači jedan "model pristupa"?
To je dizajnerska greška. Svi udaljeni siteovi nisu jedna jedina tehnička kategorija. Jedan site treba zajedničku infrastrukturu i stalnu povezanost s poslovnim resursima. Drugi treba samo nekoliko korisnika za pristup internim resursima. Treći uglavnom treba IT administraciju. Četvrti treba jednu objavljenu aplikaciju i ništa više. Postupanje sa svih četiri slučaja na isti način stvara nepotrebno povjerenje, veću izloženost i veće sigurnosne troškove.
NIST-ova smjernica o daljinskom pristupu izražava istu misao u formalnijim terminima: daljinski pristup trebao bi biti osmišljen kako bi se očuvala sigurnost uz ograničavanje nepotrebne izloženosti. Drugim riječima, pravo prvo pitanje nije "Koju metodu povezivanja već poznajemo?" nego "Što točno ovaj site, korisnik ili administrator mora doseći?"
Koji su 4 sigurnosna modela daljinske povezanosti koji su najvažniji?
Za većinu okruženja u podružnicama i sekundarnim lokacijama, daljinska povezanost spada u četiri praktična modela.
Povezivost između mreža
Prvi je pristup s mreže na mrežu . Ovo je pravi mentalni model kada se udaljena lokacija sama treba ponašati kao deo šire organizacije. Lokalna infrastruktura, sistemi na lokaciji, deljeni resursi i centralne usluge moraju dosledno raditi zajedno.
Pristup korisnika mreži
Drugi obuhvaća konekcije korisnika na mrežu Ovdje, stranica ne treba široku ekstenziju, ali određeni ljudi to čine. Osoblje može trebati nekoliko internih resursa iz udaljenog ureda, radnog prostora kod kuće povezanog s radnim tokom podružnice, ili dok se kreće između lokacija.
Admin/server pristup
Treći pristupi admin/server objekti Ovo je za IT operacije. Glavni zahtjev je kontrolirano održavanje, podrška, rješavanje problema i administracija poslužitelja, a ne široka dostupnost krajnjim korisnicima.
Pristup samo aplikaciji ili pristup s najmanjim privilegijama
Četvrti je pristup samo aplikaciji ili pristup s najmanjim privilegijama Ovaj model najbolje odgovara kada korisnici, izvođači ili dobavljači trebaju samo određenu aplikaciju ili usko definirani resurs. Usko se usklađuje s našom preferencijom za Zero Trust. Općenito, naglašavamo važnost provjere korisnika, uređaja i sesije umjesto povjerenja u putanju samo zato što postoji.
Upotreba slučaja 1: Kada stvarno treba sigurna povezanost između mreža za udaljeno mjesto?
Gdje se ovaj model uklapa i gdje postaje preširok
Neki se objekti doista trebaju širokoj povezanosti. Skladište može ovisiti o središnjem ERP-u dok također koristi lokalne pisače, skeneri i operativne uređaje. Maloprodajna podružnica može trebati nekoliko sustava za podršku vezanih uz središnje usluge. Industrijski ili poljoprivredni objekt može ovisiti o lokalnim resursima koji moraju ostati sinkronizirani s osnovnim sustavima.
U tim slučajevima, široka povezanost stranice može se opravdati jer je sama stranica dio operativnog okruženja. Ključ je prepoznati da je ovo najteži model pristupa. Stvara najširi odnos povjerenja, stoga bi trebao biti rezerviran za slučajeve gdje bi uži dizajn prekinuo radni proces.
Prioriteti sigurnosti za proširenu povezanost stranice
Ovo je također mjesto gdje sigurnosna disciplina ima najveću važnost. Kada je stranica široko povezana, segmentacija, evidentiranje, politika vatrozida i ograničenja pristupa postaju bitni. TSplus Advanced Security je ovdje relevantan ne zato što stvara povezanost, već zato što pomaže u zaštiti izloženih pristupnih putanja i osjetljive infrastrukture temeljene na Windowsu s funkcijama kao što su Vatrozid, Zaštita od IP adresa hakera, Geografska zaštita, Zaštita od brute force napada, Sigurne sesije i Dozvole.
Dobra pravila su jednostavna: ako korisnici na udaljenoj lokaciji stvarno trebaju samo jednu ili dvije aplikacije, nemojte automatski postavljati povjerenje za cijelu lokaciju. To je obično previše dizajna za premalo potrebe.
Upotreba slučaja 2: Kada je siguran pristup korisnika mreži stvarna potreba?
Tipični scenariji rada u poslovnicama i hibridnog rada
Ponekad podružnica ili sekundarna lokacija uopće ne trebaju široku ekstenziju. Umjesto toga, nekolicina zaposlenika treba pristup više internih resursa. To je drugi problem. To je daljinski pristup na razini korisnika, a ne na razini lokacije.
Ovaj model je uobičajen u hibridnim operacijama. Regionalni menadžer, voditelj financija ili mali administrativni tim mogu trebati nekoliko internih alata iz satelitskog ureda. Pravi dizajn ovdje oblikuje individualni identitet, uređaj, sesiju i politiku, a ne tretiranje cijelog mjesta kao pouzdane ekstenzije.
Gdje korisnički specifično bolje odgovara od proširenja za cijelu stranicu
Ta razlika je važna jer pristup korisnika mreži može postati preširok. Ako korisniku stvarno treba samo jedna aplikacija, davanje širokog unutarnjeg pristupa povećava rizik bez dodavanja vrijednosti. Čvrsto se zalažemo za smanjenje izloženosti i primjenu minimalnih privilegija gdje god je to moguće, posebno za SMB i distribuirana okruženja.
Prioriteti sigurnosti za udaljeni pristup na razini korisnika
TSplus Advanced Security podržava ovaj model dodavanjem kontrola oko toga tko se može povezati, odakle i pod kojim uvjetima. Geografska zaštita može ograničiti pristup privatnim i na bijeloj listi navedenim IP adresama ili odabranim regijama. Zaštita od brute force napada može automatski staviti na crnu listu problematične IP adrese nakon ponovljenih neuspješnih prijava. To pomaže pretvoriti širok problem "daljinskog korisnika" u kontroliraniji pristup temeljen na politikama.
Upotreba slučaja 3: Kada je siguran pristup administratoru ili poslužitelju stvarna potreba?
Tipične IT i MSP situacije
Veliki dio takozvanih projekata povezivanja udaljenih lokacija zapravo su projekti IT administracije. MSP treba održavati klijentski poslužitelj. Interni administrator treba zakrpiti udaljeni host. Tehničar za pomoć treba riješiti probleme s okruženjem Windows sesije. Ništa od toga ne zahtijeva davanje običnim korisnicima ili cijelom mjestu istu razinu pristupa.
Zašto bi administratorski pristup trebao ostati odvojen od pristupa običnih korisnika
Admin pristup treba tretirati kao svoju vlastitu kategoriju jer je po prirodi privilegiran. Najsigurniji dizajn obično je onaj koji drži admin promet odvojen od uobičajenih korisničkih radnih tokova, ograničava s kojih mjesta se administratori mogu povezati i znatno jača ulazni put u odnosu na standardni korisnički kanal.
Vješto dizajnirane sigurnosne značajke za optimalnu zaštitu
Ovo je jedan od najjačih poziva za naš softver Advanced Security i njegove značajke. Proizvodova Bruteforce Protection je posebno dizajniran za praćenje neuspješnih prijava na Windows i stavljanje na crnu listu napadačkih IP adresa. Njegov Firewall, Dozvole, Sigurne Sesije i izvještaji su izravno korisni kada je cilj javno dostupni Windows poslužitelj ili put do daljinske administracije.
Prioriteti sigurnosti za privilegirani daljinski pristup
Ovo je također mjesto gdje ne primjenjuju sve značajke naših proizvoda na isti način. Na primjer, Pouzdani uređaji rade s vezama iz TSplus Remote Access Web Portala. Uistinu ćete pronaći naše dokumentacijske napomene da je Web Portal nespojiv s HTML5 sesijama ili iOS i Android uređajima koji skrivaju nazive hostova. To je važno prilikom planiranja provedbe povjerenja uređaja za administrativne radne tokove.
Rješavate li probleme s RDP-om ili osiguravate ulazne točke za administratore na podružnicama i sekundarnim lokacijama? Jeste li znali? Pitajte nas i zajedno ćemo dogovoriti vođenu demonstraciju TSplus Advanced Security.
Upotreba slučaja 4: Kada je pristup samo aplikaciji ili pristup s najmanjim privilegijama bolji odgovor?
Tipični scenariji temeljen na granama, dobavljačima i zadacima
Ovo je često najčišći model i onaj koji mnogi okruženja zanemaruju. Ako zaposlenik u podružnici treba samo ERP ekran, sustav za raspoređivanje, alat za računovodstvo ili drugu objavljenu Windows aplikaciju, širok pristup na daljinu često nije potreban. Pravi odgovor nije "više mreže." To je "manje pristupa, isporučeno bolje."
Zašto ograničen pristup smanjuje rizik
Ovo je mjesto gdje drugi proizvod u našem paketu postaje vrlo relevantan. TSplus Remote Access podržava siguran Web Portal i objavljivanje aplikacija, što korisnicima omogućuje pristup kontroliranoj aplikaciji ili radnoj površini bez otvaranja šireg okruženja. Bez obzira na sam alat za isporuku, pristup samo aplikacijama je pravi dizajnerski izbor za ovu situaciju.
Prioriteti sigurnosti za objavljeni i ograničeni pristup
TSplus Advanced Security ostaje središnji jer čak i uži model pristupa još uvijek treba zaštitu. Aplikacijski poslužitelji koji su dostupni javnosti i web pristupni putevi i dalje su površine za napad. Pročitajte naš članak o sigurnom web prolazu za više informacija o zaštiti od brute-force napada i geografskoj IP filtraciji. Oni su posebno važni za izložene RDP i web portal usluge i upravo su to vrsta učvršćivanja koju isporuka aplikacija orijentirana na grane treba.
Pristup s najmanjim privilegijama također je pravi model za dobavljače, izvođače i privremene partnere. Ako treća strana treba jedan unutarnji alat, jedno sučelje za održavanje ili jedan vremenski ograničen radni proces, davanje šireg pristupa od toga nije pogodnost. To je prekomjerno izlaganje.
Kako možete odabrati najsigurniji model za svaku udaljenu lokaciju?
Praktični okvir odluka počinje s četiri pitanja.
Prvo, što se mora postići?
Ako je odgovor "zajednička infrastruktura stranice i višestruki unutarnji sustavi", povezanost između mreža može biti opravdana. Ako je odgovor "nekoliko unutarnjih resursa za odabrane korisnike", pristup korisnika mreži je bliži. Ako je odgovor "upravljanje poslužiteljem i održavanje", to je problem pristupa administratora. Ako je odgovor "jedna aplikacija ili jedan zadatak", pristup samo aplikaciji ili pristup s najmanjim privilegijama trebao bi voditi dizajn.
Drugo, tko treba pristup?
Cjela podružnica, mala korisnička grupa, IT tim i vanjski dobavljač ne bi trebali naslijediti isti model povjerenja.
Treće, koliko izlaganje je prihvatljivo?
Što je širi doseg, to moraju biti jači kompenzacijski kontrole. TSplusova vlastita sigurnosna pozicija dosljedno favorizira smanjenu izloženost, jaču identifikaciju, provedbu politika i nadzor umjesto širokog zadatog povjerenja.
Četvrto, kakvo opterećenje podrške okruženje zapravo može podnijeti?
Mali IT timovi i MSP-ovi trebaju dizajne koji su sigurni, ali upravljivi. To je jedan od razloga zašto TSplus postavlja Advanced Security oko praktične zaštite bez nepotrebne složenosti.
Gdje se TSplus Advanced Security najbolje uklapa?
Zaštita izloženih pristupnih putanja
TSplus Advanced Security je ključan za osiguranje bilo kojeg modela udaljene lokacije koji odaberete sa svojim značajkama:
Zaštita IP adresa hakera,
Geografska zaštita,
Zaštita od napada silom
Ograniči radno vrijeme,
Vatrozid,
Upozorenja,
Izvještaji,
Zaštita od ransomware-a,
Dozvole,
Sigurne sesije
i pouzdani uređaji.
Provođenje politike s geo, IP i kontrolama sesije
Ovaj 360 alat je izgrađen za zaštitu distribuiranih Windows-baziranih okruženja s izloženim putanjama za daljinski pristup. Njegova dokumentacija za brzo pokretanje stavlja zaštitu od ransomwarea, zaštitu od bruteforce napada i geografsku zaštitu u središte inicijalne postavke, što odražava praktičan fokus proizvoda na učvršćivanje. Za podružnice i sekundarne lokacije, ta kombinacija je korisna jer su glavni rizici često ponovljeni napadi prijave, preširok pristup izvoru, zloupotreba sesije i poslovni utjecaj ransomwarea koji se širi kroz dostupne sustave.
Jačanje distribuiranih okruženja protiv ransomwarea i zloupotrebe
Zaštita od ransomwarea je posebno relevantna u distribuiranim okruženjima. Ona otkriva, blokira i sprječava ransomware, koristeći i statičku i ponašajnu analizu, te može reagirati čim otkrije ransomware u sesiji. To je vrijedno kada kompromitirana krajnja točka, udaljeni korisnik ili radni tok podružnice postanu ključna točka za središnje sustave.
Primjeri udaljenih lokacija iz stvarnog svijeta
[A] A maloprodajna poslovnica često odgovara modelu samo aplikacije. Osoblje obično treba ograničen skup alata za poslovanje, a ne široku mrežnu dostupnost. Sigurniji dizajn često uključuje objavljeni pristup plus ojačane ulazne točke.
[A] A skladište ili industrijsko mjesto je vjerojatnije da će opravdati široku povezanost jer lokalni uređaji i središnji sustavi trebaju kontinuiranu koordinaciju. Čak i tada, pristup administratora trebao bi ostati odvojen i strogo kontroliran.
[A] A satellite zdravstvena kancelarija obično zahtijeva jače definiranje. Različite uloge trebaju različite sustave, a široki pristup može stvoriti probleme s sigurnošću i usklađenošću. Pristup na razini korisnika ili aplikacije često je bolja polazna točka od općeg povezivanja.
Jedan MSP-upravljano korisničko mjesto obično je prvo problem s pristupom administratora/servera. Pružatelj treba siguran, auditable put podrške, a ne otvoreno široko povjerenje u cijelo korisničko okruženje.
Za zaključak: Započnite s opsegom pristupa, a zatim ga pravilno osigurajte.
Povezivanje s udaljenim mjestima nije jedan problem s jednim odgovorom. Neki web-mjesta trebaju široku povezanost. Neki trebaju pristup za odabrane korisnike. Neki trebaju privilegirane administratorske putove. Neki trebaju samo jednu objavljenu aplikaciju ili usko definirani radni tijek.
Zato je najbolje pitanje o sigurnom dizajnu ne "Koji sigurni protokol za daljinski pristup zvuči najjače?" već "Koji je najmanji praktični model pristupa koji još uvijek omogućava ovom udaljenom mjestu da funkcionira?" Kada se to odgovori, sigurnost postaje jasnija i lakša za održavanje.
TSplus Advanced Security dobro se uklapa u ovu strategiju. Ne traži od vas da jednako vjerujete svakom udaljenom mjestu. Pomaže vam da ojačate odabranu stazu relevantnim, prikladnim i dobro usmjerenim zaštitama za distribuirana okruženja koja su najvažnija za vašu upotrebu.
Česta pitanja
1. Koji je najbolji način za osiguranje udaljenih veza za udaljenu lokaciju?
Najbolji način je uskladiti model pristupa s pravom potrebom. Neki udaljeni lokacije trebaju široku povezanost, ali mnogi samo trebaju pristup na razini korisnika, razini administratora ili samo aplikacije. Sigurnost se poboljšava kada se opseg pristupa smanji prije nego što se dodaju kontrole.
2. Treba li svaka podružnica punu povezanost između mreža?
Ne. Mnoge podružnice trebaju samo nekoliko internih aplikacija ili kontrolirani administratorski put. Proširenje širokog povjerenja na cijeli site povećalo bi rizik i složenost bez poboljšanja korisničkog iskustva.
3. Kada je pristup korisnika mreži bolji od potpune povezanosti na cijelom mjestu?
Bolje je kada odabrani korisnici trebaju nekoliko internih resursa, ali sam sajt ne treba funkcionirati kao potpuno proširenje mreže. To održava povjerenje bliže povezano s identitetom i politikom.
4. Kada je pristup samo aplikaciji bolji izbor?
Pristup samo aplikacijama često je najbolji kada korisnici trebaju jednu ili nekoliko poslovnih aplikacija umjesto širokog mrežnog dosega. Smanjuje prekomjernu izloženost i bolje se usklađuje s dizajnom minimalnih privilegija.
5. Kako TSplus Advanced Security pomaže u zaštiti pristupa udaljenim lokacijama?
TSplus Advanced Security dodaje kontrole kao što su Geografska zaštita, Zaštita od brutalne sile, Vatrozid, Dozvole, Sigurne sesije, Pouzdani uređaji i Zaštita od ransomwarea kako bi ojačao putanje daljinskog pristupa i distribuirana Windows okruženja.
)
)
)
