TSplus Advanced Security Logo

Szeretné, ha a webhely más nyelven lenne?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Nyelv váltása
Tartalomjegyzék

Bevezetés

A biztonságos böngészőhozzáférés a privát alkalmazásokhoz lehetővé teszi az alkalmazottak, alvállalkozók és partnerek számára, hogy bárhonnan elérjék az üzleti alkalmazásokat anélkül, hogy megnyitnák az egész hálózatot. A kis- és középvállalkozások IT csapatainak kihívása a kényelem és a védelem egyensúlyának megteremtése. Ez a cikk azt magyarázza el, hogyan csökkenthető a távoli hozzáférés kockázata a legkisebb jogosultság, a szigorúbb hitelesítés és a kontrollált kapcsolati szabályok révén.

Mi az a biztonságos böngészőhozzáférés a privát alkalmazásokhoz?

A biztonságos böngészőhozzáférés a privát alkalmazásokhoz lehetővé teszi az arra jogosult felhasználók számára, hogy belső üzleti alkalmazásokat nyissanak meg egy webböngészőn keresztül. Ahelyett, hogy egy virtuális magánhálózaton (VPN) keresztül csatlakoznának az egész hálózathoz, a felhasználók csak az őket kijelölt alkalmazásokhoz férnek hozzá.

Egy privát alkalmazás lehet egy vállalati erőforrás-tervezési rendszer, könyvelési szoftver, ügyféladatbázis, belső portál, adminisztrátori konzol, régi Windows alkalmazás vagy Távoli asztali protokoll RDP, alkalmazás. Az alkalmazás privát, mert nem kellene közvetlenül elérhetőnek lennie a nyilvános interneten.

A biztonsági elv egyszerű: a böngésző hozzáférésnek az alkalmazást kell biztosítania, nem az egész hálózatot. Ez támogatja a legkisebb jogosultságot, ahol a felhasználók a szerepükhöz szükséges hozzáférést kapják, és semmi többet.

A biztonságos böngészőhozzáférésnek védenie kell a bejelentkezési oldal mögött lévő tartalmat is. A Windows munkamenetek, fájlok, hitelesítő adatok és üzleti alkalmazások továbbra is értékes célpontok, ezért a szerver környezetének biztonsági intézkedésekkel kell rendelkeznie az egyszerű hitelesítésen túl.

Miért jelenthet a csak VPN-hozzáférés felesleges kockázatot?

A VPN-ek továbbra is hasznosak az adminisztrátorok és a technikai felhasználók számára, akik széleskörű hálózati szintű hozzáférésre van szükségük. A VPN egy titkosított alagutat hoz létre egy magánhálózatba, és hatékony lehet, ha megfelelően van konfigurálva.

Azonban a csak VPN-en keresztüli hozzáférés túlzott lehet, amikor egy felhasználónak egy alkalmazásra vagy egy kis csoport üzleti erőforrásra van szüksége. Ebben az esetben a VPN növelheti a hálózati láthatóságot, a végponti támogatási munkát és a kompromittált fiók lehetséges hatását.

NIST SP 800-46 Rev. 2 magyarázza, hogy a távoli hozzáférés biztonsági programjainak figyelembe kell venniük a távmunka, a távoli hozzáférés és a saját eszköz használatának forgatókönyveit, beleértve a biztonsági politikát és a technológiai ellenőrzéseket. Ez azért fontos, mert a privát alkalmazásokhoz való hozzáférés gyakran külső felhasználókat, kezelhetetlen eszközöket és a szervezet ellenőrzésén kívüli hálózatokból érkező kapcsolatokat von maga után.

A kis- és középvállalkozások számára a VPN bonyolultsága napi működési problémává válhat. A vállalkozók ideiglenes hozzáférésre lehetnek szükségük. A felhasználók személyes eszközökről dolgozhatnak. Az IT csapatok túl sok időt tölthetnek az ügyfelek kezelésével a kockázat csökkentése helyett.

A biztonságos böngészőhozzáférés a privát alkalmazásokhoz egy fókuszáltabb modellt kínál. A szervezet specifikus alkalmazásokat tesz közzé, ellenőrzi, ki csatlakozhat, és védi az infrastruktúrát, ahol ezek az alkalmazások futnak.

Mi teszi a böngészőhozzáférést biztonságossá?

A böngészőhozzáférés nem automatikusan biztonságos. Egy webportál, bejelentkezési oldal vagy közzétett alkalmazás továbbra is támadható, ha erős védelem nélkül van kitéve.

A biztonságos böngészőhozzáférés három rétegen alapul: identitás, alkalmazási terjedelem és infrastruktúra védelem. Minden réteg csökkenti a távoli hozzáférés kockázatának egy különböző részét.

Identitás és hitelesítés

Az identitásellenőrzések döntenek arról, hogy ki csatlakozhat. A szervezeteknek erős jelszópolitikát, többlépcsős hitelesítést vagy MFA-t, valamint fióklezárási szabályokat kell alkalmazniuk a nyilvános hozzáférési pontok esetében.

Az RDP-alapú környezetekben a Hálózati Szintű Hitelesítés, vagyis az NLA szintén fontos. Az NLA a felhasználókat hitelesíti, mielőtt a teljes RDP munkamenet létrejön, ami segít csökkenteni a szerver erőforrásainak szükségtelen kitettségét.

Alkalmazás szintű hozzáférés-ellenőrzés

Az alkalmazás szintű hozzáférés-ellenőrzés meghatározza, hogy az egyes felhasználók mit érhetnek el az azonosítás után. Ez a különbség a „a felhasználó megnyithatja a könyvelési alkalmazást” és a „a felhasználó böngészheti a szervert” között.

A biztonságos böngészőhozzáférésnek felhasználónként vagy csoportonként kell kiosztania az alkalmazásokat. A pénzügyi csapatoknak, külső könyvelőknek, vállalkozóknak és adminisztrátoroknak alapértelmezés szerint nem szabad ugyanazt a hozzáférést kapniuk. Ez egy gyakorlati megoldást támogat. Zero Trust a kis- és középvállalkozások távoli hozzáféréséhez modell, ahol minden felhasználót, eszközt és munkamenetet ellenőriznek, mielőtt a hozzáférést engedélyeznék.

Szerver- és adatvédelem

A biztonságos böngészőhozzáférésnek ezért tartalmaznia kell fejlett biztonság vezérlők, mint a brute-force védelem, földrajzi szűrés, munkaidő korlátozások, jogosultságok ellenőrzése, ransomware védelem, figyelmeztetések és biztonsági naplók. Ezek a rétegek nélkül a böngésző egyszerűen egy újabb kiemelt távoli hozzáférési felületté válik.

A biztonságos böngészőhozzáférésnek ezért tartalmaznia kell a bruteforce védelmet, a földrajzi szűrést, a munkaidő-korlátozásokat, a jogosultságok ellenőrzését, a ransomware védelmet, az értesítéseket és a biztonsági naplókat. Ezek a rétegek nélkül a böngésző egyszerűen egy újabb kiemelt távoli hozzáférési felületté válik.

Mik a legjobb gyakorlatok a biztonságos böngészőhozzáféréshez a privát alkalmazásokhoz?

Egy biztonságos böngészőhozzáférési stratégia csökkenteni kell a kitettséget minden egyes kapcsolat előtt, alatt és után. A következő gyakorlatok segítik az IT csapatokat a privát alkalmazások védelmében anélkül, hogy felesleges bonyolultságot okoznának.

Csak a felhasználók által szükséges alkalmazásokat publikálja

Az alkalmazáskiadásnak a szerepkör-térképezéssel kell kezdődnie. Minden felhasználónak vagy csoportnak csak a napi munkához szükséges alkalmazásokhoz kell hozzáférést kapnia.

Például egy külső könyvelőnek szüksége lehet egy könyvelési alkalmazásra, de nem egy teljes asztali verzióra. Egy támogatási szerződöttnek szüksége lehet egy adminisztrációs konzolra, de nem fájlszerver-hozzáférésre.

Ez a terjedelem csökkenti a potenciális kárt az ellopott hitelesítő adatok vagy a munkamenet visszaélése miatt. Még akkor is, ha egy fiók kompromittálódik, a támadónak kevesebb rendszerhez van hozzáférése.

Kerüld el az RDP és a távoli szolgáltatások közvetlen kitettségét

A közvetlenül elérhető távoli szolgáltatások vonzzák a szkenner programokat, a brute-force eszközöket és a hitelesítési támadásokat. Az RDP-t nem szabad nyitva hagyni az Internet számára további védelem nélkül.

Microsoft Learn leírja a Remote Desktop Gateway-t, vagy RD Gateway-t, mint egy módot arra, hogy a felhasználók biztonságosan csatlakozzanak a belső hálózati erőforrásokhoz a vállalati tűzfalon kívülről. Ez a gateway-alapú modell segít elkerülni a belső rendszerekhez való ellenőrizetlen közvetlen hozzáférést.

Még akkor is, ha egy szervezet webportált vagy átjárót használ, az adminisztrátoroknak továbbra is csökkenteniük kell a nyitott portokat, megerősíteniük kell a hitelesítést és figyelniük kell a bejelentkezési viselkedést. A távoli hozzáférés biztonsága a teljes lánctól függ, nem csupán az első bejelentkezési képernyőtől.

Kényszerítse a MFA-t, NLA-t és a szigorú jelszópolitikákat

A jelszavak önmagukban nem elegendőek a távoli hozzáféréshez. Az újrahasznált jelszavak, a phishing és a hitelesítő adatok tömörítése a kiszolgáltatott bejelentkezési oldalakat gyakori célponttá teszik.

Az MFA egy második ellenőrzési lépést ad hozzá. Az NLA segít megvédeni az RDP környezeteket azáltal, hogy a felhasználókat hitelesíti, mielőtt a teljes távoli munkamenet létrejön. Az erős jelszabályok és a fióklezárási politikák csökkentik annak esélyét, hogy az automatizált találgatás sikeres legyen.

Az adminisztrátori fiókok szigorúbb ellenőrzést igényelnek. Az admin hozzáférésnek MFA-t, korlátozott forráshelyeket, dedikált hitelesítő adatokat és szorosabb nyomon követést kell használnia.

Hozzáférés korlátozása ország, IP-cím és munkaidő szerint

Nem minden szervezetnek kell elfogadnia a távoli kapcsolatokat minden helyről. A földrajzi korlátozások és az IP engedélyezett listák csökkentik a felesleges kitettséget.

Például egy olyan KKV, amely csak Franciaországban, Spanyolországban és Németországban működik, blokkolhatja a bejelentkezési kísérleteket más országokból. Egy menedzselt szolgáltató korlátozhatja a rendszergazdai hozzáférést a megbízható irodai IP-címekre.

A munkaidő-korlátozások egy újabb hasznos réteget adnak hozzá. Ha a vállalkozók hétfőtől péntekig, 08:00-tól 18:00-ig dolgoznak, a munkameneteiknek nem szabad elérhetőnek lenniük vasárnap 02:00-kor.

Alkalmazza a legkisebb jogosultságot a fájlokra, nyomtatókra és rendszererőforrásokra

Az alkalmazás hozzáférés nem jelenti automatikusan a biztonságos hozzáférést. Miután egy munkamenet megnyílik, a felhasználók továbbra is interakcióba léphetnek a helyi meghajtókkal, nyomtatókkal, rendszerleíró kulcsokkal vagy mappákkal.

A rendszergazdáknak felül kell vizsgálniuk a fájlrendszer jogait, a nyomtatóhozzáférést, a vágólap viselkedését és a rendszerbeállításokat. Egy felhasználónak, aki egy privát alkalmazásra van szüksége, nem szabad széleskörű szerverengedélyeket kapnia.

A legkisebb jogosultság korlátozza a kompromittált fiók robbanási sugarát. Ezenkívül csökkenti annak esélyét, hogy a felhasználói hiba vagy a rosszindulatú szoftver nem kapcsolódó erőforrásokat érintsen.

Figyelje a sikertelen bejelentkezéseket és a zsarolóvírusok viselkedését

A sikertelen bejelentkezési kísérletek bruteforce tevékenységre, hitelesítő adatok töltögetésére vagy rosszul konfigurált szkriptekre utalhatnak. Az automatikus blokkolás hasznos, mert a támadások gyorsabban történhetnek, mint ahogy az adminisztrátorok képesek manuálisan reagálni. Az expozícióval rendelkező hozzáférési útvonalak esetén az IT csapatoknak is át kell nézniük a gyakorlati. brute-force védelem Olyan vezérlők, mint az MFA, IP-korlátozások, NLA, TLS és valós idejű észlelés.

A ransomware védelem szintén része a távoli hozzáférési stratégiának. A CISA ransomware iránymutatása a ransomware események valószínűségének és hatásának csökkentésére összpontosít, ami közvetlenül releváns, amikor a privát alkalmazások megosztott fájlokhoz vagy operatív adatokhoz csatlakoznak.

Böngészőhozzáférés, átjáróhozzáférés és RDP-hozzáférés mind olyan eseményeket kell, hogy generáljanak, amelyeket az adminisztrátorok át tudnak nézni. A láthatóság elengedhetetlen a gyors válaszhoz és a hosszú távú megerősítéshez.

Mi az SMB-k megvalósítási ellenőrzőlistája?

A privát alkalmazások böngészőn keresztüli közzététele előtt az IT csapatoknak meg kell erősíteniük a következő ellenőrzéseket. Ez a ellenőrzőlista segít csökkenteni a kitettséget, korlátozni a felhasználói jogosultságokat és megvédeni a távoli hozzáférés mögött álló Windows szervereket.

Felhasználók és alkalmazás-hozzáférés meghatározása

Kezdje azzal, hogy azonosítja, kinek van szüksége távoli hozzáférésre és miért. Hozzon létre felhasználói csoportokat az alkalmazottak, vállalkozók, rendszergazdák és külső partnerek számára, majd térképezze fel minden csoportot a szerepükhöz szükséges alkalmazásokhoz.

Csak azokat az alkalmazásokat vagy asztalokat publikálja, amire minden csoportnak szüksége van. Kerülje el, hogy a felhasználóknak teljes asztali hozzáférést adjon, amikor egy üzleti alkalmazás elegendő.

Erősítse meg a hitelesítést

Követelje meg a többtényezős hitelesítést a távoli felhasználók, külső felhasználók és rendszergazdák számára. Az MFA csökkenti annak kockázatát, hogy egy ellopott vagy kitalált jelszó sikeres kompromittálódáshoz vezet.

Ahol a Távoli Asztali Protokollt használják, engedélyezze a Hálózati Szintű Hitelesítést. Az NLA segít a felhasználók hitelesítésében, mielőtt a teljes távoli munkamenet létrejön.

Csökkentse az internetes kitettséget

Kerüld el az RDP közvetlen kitettségét az internetnek. Használj ellenőrzött hozzáférési pontokat, átjárókat vagy biztonságos webes hozzáférési modelleket, amelyek tartalmazzák az azonosítást, szűrést és megfigyelést.

Rendszeresen ellenőrizze a nyilvános portokat és szolgáltatásokat. Távolítsa el a már nem szükséges nyilvános hozzáférést.

Hozzáférés korlátozása a kontextus alapján

Korlátozza a távoli hozzáférést ország, megbízható IP-cím és munkaidő alapján. Ezek a vezérlők segítenek blokkolni azokat a kapcsolatokat, amelyek nem felelnek meg a normál üzleti tevékenységnek.

Például egy olyan vállalkozónak, aki munkaidőben dolgozik, nem szabadna késő este vagy váratlan régiókból csatlakoznia.

Alkalmazza a legkisebb jogosultságot

Ellenőrizze a fájlrendszer, nyomtató, rendszerleíró adatbázis és vágólap engedélyeit. A felhasználóknak csak a munkájuk elvégzéséhez szükséges jogokkal kell rendelkezniük.

A legkisebb jogosultság korlátozza a kompromittált fiókok, a rosszindulatú programok vagy a felhasználói hibák által okozott károkat.

Automatizált fenyegetésvédelem engedélyezése

Engedélyezze a brute-force védelmet és az automatikus IP-blokkolást. A többszöri sikertelen bejelentkezési kísérletek gyors védelmi intézkedést kell, hogy kiváltsanak, anélkül, hogy manuális beavatkozásra várnának.

Engedélyezze a ransomware védelmet az üzleti alkalmazásokat és adatokat tároló szervereken. A távoli hozzáférés biztonságának védenie kell mind a bejelentkezési pontot, mind a mögötte lévő szerver környezetet.

Rendszeresen felülvizsgálja az eseményeket

Felülvizsgálja a naplókat, figyelmeztetéseket, blokkolt IP-címeket és a ransomware eseményeket rendszeres ütemezés szerint. A biztonsági láthatóság segíti az IT csapatokat a gyanús viselkedés észlelésében és az hozzáférési politikák folyamatos javításában.

A dokumentum módosításai minden felülvizsgálat után. Ez biztosítja, hogy a távoli hozzáférési vezérlések összhangban legyenek a felhasználókkal, a szerződött partnerekkel és az üzleti igényekkel.

Biztonságos Böngésző Hozzáférés vs VPN, VDI és ZTNA – Összehasonlító Táblázat

VPN, Virtuális Asztali Infrastruktúra, vagy VDI, Zero Trust Hálózati Hozzáférés, vagy ZTNA, és biztonságos böngészőhozzáférés különböző módokon oldják meg a kapcsolódó problémákat.

Megközelítés Legjobb illeszkedés Fő kockázat SMB megfontolás
VPN Széleskörű hálózati hozzáférésre van szükségük a felhasználóknak Több hálózati láthatóság, mint amire szükség van Növelheti a támogatás és az végpontok összetettségét
VDI Központosított asztali környezetek Költség és adminisztrációs többlet Erőteljes, de gyakran nehéz a egyszerű alkalmazás hozzáféréshez.
ZTNA Granuláris hozzáférés a privát erőforrásokhoz Architektúra és licencelési összetettség Erős modell, de kisebb csapatok számára bonyolult lehet.
Biztonságos böngészőhozzáférés Felhasználók, akiknek speciális privát alkalmazásokra van szükségük Kibővített portál, ha nincs védve Gyakorlatias erős szerverbiztonsággal párosítva

A VPN-ek hasznosak, amikor a felhasználónak valóban szüksége van hálózati hozzáférésre. A VDI hasznos, amikor a szervezet teljes asztali környezeteket szeretne központosítani. A ZTNA hasznos, amikor a szervezet készen áll arra, hogy részletes, identitásalapú hozzáférést építsen ki számos privát erőforráshoz.

A biztonságos böngészőhozzáférés gyakran a könnyebb lehetőség a KKV-k számára. A felhasználók megnyitnak egy böngészőt, hitelesítik magukat, és elérik a kijelölt alkalmazásokat. A modell biztonságossá válik, amikor a hosztoló infrastruktúra védve van a gyakori távoli hozzáférési fenyegetésekkel szemben.

Hogyan segít a TSplus a böngésző hozzáférésének biztosításában a privát alkalmazásokhoz

TSplus Advanced Security védi a Windows szervereket és a távoli hozzáférést a privát alkalmazásokhoz. Segít csökkenteni a gyakori kitettségi kockázatokat, mint például a brute-force bejelentkezési kísérletek, a nem kívánt földrajzi kapcsolatok, az engedélyezett órákon kívüli hozzáférés, a túlzott jogosultságok és a ransomware viselkedés.

A rendszergazdák használhatják a Bruteforce Protection, a Földrajzi Védelem, a Munkaidő, az Engedélyek, a Ransomware Protection, a Tűzfal, az Értesítések és a Jelentések funkciókat a böngészőalapú privát alkalmazásokhoz való hozzáférés megerősítésére. Ezek a vezérlők együtt segítenek korlátozni, hogy ki csatlakozhat, mikor engedélyezett a hozzáférés és mely fenyegetések blokkolva vannak.

Következtetés

A biztonságos böngészőhozzáférés a privát alkalmazásokhoz csökkentheti a VPN-függőséget és korlátozhatja a hálózati kitettséget, amikor a szerveroldali védelem erős. A TSplus segít a kis- és középvállalkozásoknak ellenőrizni, hogy ki csatlakozik, korlátozni a kockázatos helyeket és időpontokat, blokkolni a brute-force kísérleteket, kezelni a jogosultságokat és megakadályozni a ransomware viselkedést, így a privát alkalmazások elérhetők maradnak az engedéllyel rendelkező felhasználók számára anélkül, hogy a Windows infrastruktúra feleslegesen ki lenne téve a napi üzleti műveletek során.

Megosztás:

Facebook Twitter LinkedIn

Az Ön TSplus csapata

További olvasmányok

back to top of the page icon