)
)
A biztonságos távoli helyi kapcsolódás minden fiók, raktár, klinika, kiskereskedelmi bolt, farm, ipari helyszín vagy kezelt ügyfélhelyszín valódi hozzáférési követelményével kezdődik. Itt négy gyakorlati igény köré összpontosítunk: hálózat-hálózati kapcsolódás, felhasználó-hálózati hozzáférés, adminisztrátor/szerver hozzáférés, valamint alkalmazás-specifikus vagy legkisebb jogosultságú hozzáférés.
Ez a keretezés megváltoztatja a biztonságos távoli hozzáférési protokoll hatókörét a fiókhelyzetekben, és gyakorlati megoldások forrásává válik, amelyeket újra felhasználhat. Még néhány konkrét esetre is alkalmazzuk. Azzal fejezzük be, hogy bemutatjuk a TSplus Advanced Security szerepét a megosztott távoli hozzáférési környezetek védelmében.
Miért hibásodnak meg gyakran a biztonságos távoli helyi kapcsolódási döntések?
A hozzáférési terjedelem helyett a technológiával kezdve
Sok távoli hozzáférési projekt egy ismerős eszközzel kezdődik, ahelyett, hogy egy meghatározott felhasználási esetet követne. Egy másodlagos iroda nyílik, egy új raktár indul, vagy egy MSP ügyfelet von be, és az első reakció gyakran a széleskörű kapcsolódás kiterjesztése. Ez a megközelítés működhet, de egy távoli helynek sokkal nagyobb elérhetőséget is adhat, mint amire valójában szüksége van.
Miért nem egyenlő egy „távoli hely” egy „hozzáférési modellel”?
Ez egy tervezési hiba. Minden távoli helyszín nem egyetlen technikai kategória. Az egyik helyszínnek megosztott infrastruktúrára és tartós üzleti kapcsolatra van szüksége. A másiknak csak néhány felhasználóra van szüksége, hogy elérje a belső erőforrásokat. A harmadiknak elsősorban IT-adminisztrációra van szüksége. A negyediknek egy közzétett alkalmazásra van szüksége, és semmi másra. Az összes négy eset egyformán kezelése felesleges bizalmat, nagyobb kitettséget és több biztonsági terhet eredményez.
A NIST tájékoztatása a távoli hozzáférésről ugyanazt a pontot fogalmazza meg formálisabb kifejezésekkel: a távoli hozzáférést úgy kell megtervezni, hogy megőrizze a biztonságot, miközben korlátozza a szükségtelen kitettséget. Más szavakkal, a helyes első kérdés nem az, hogy "Milyen kapcsolatfelvételi módszert ismerünk már?" hanem az, hogy "Mit kell pontosan elérnie ennek az oldalnak, felhasználónak vagy adminisztrátornak?"
Melyik 4 biztonságos távoli kapcsolati modell a legfontosabb?
A legtöbb fióki és másodlagos helyszíni környezetben a távoli kapcsolódás négy gyakorlati modellbe sorolható.
Hálózatok közötti kapcsolódás
Az első az hálózatról-hálózatra hozzáférés Ez a megfelelő mentális modell, amikor a távoli helynek magának kell viselkednie, mint a szélesebb szervezet része. A helyi infrastruktúrának, a helyi rendszereknek, a megosztott erőforrásoknak és a központi szolgáltatásoknak mind konzisztensen együtt kell működniük.
Felhasználói hálózati hozzáférés
A második magában foglalja felhasználói-hálózati kapcsolatok Itt az oldalon nincs szükség széleskörű kiterjesztésre, de bizonyos embereknek szükségük van rá. A munkatársaknak szükségük lehet több belső erőforrásra egy távoli irodából, egy otthoni munkaterületről, amely egy fióki munkafolyamathoz kapcsolódik, vagy amikor helyek között mozognak.
Admin/szerver hozzáférés
A harmadik hozzáférések admin/szerver létesítmények Ez az IT műveletekhez készült. A fő követelmény a kontrollált karbantartás, támogatás, hibaelhárítás és a szerveradminisztráció, nem pedig a széles végfelhasználói elérés.
Alkalmazás-alapú vagy legkisebb jogosultságú hozzáférés
A negyedik az alkalmazás-alapú vagy legkisebb jogosultságú hozzáférés Ez a modell a legjobban akkor illeszkedik, amikor a felhasználóknak, alvállalkozóknak vagy beszállítóknak csak egy adott alkalmazásra vagy szűk értelemben vett erőforrásra van szükségük. Szorosan összhangban áll a Zero Trust iránti preferenciánkkal. Összességében hangsúlyozzuk a felhasználó, az eszköz és a munkamenet ellenőrzésének fontosságát ahelyett, hogy csak azért bíznánk meg egy úton, mert az létezik.
Használati eset 1: Mikor van szüksége egy távoli helynek valóban biztonságos hálózat-hálózati kapcsolatra?
Ahol ez a modell illeszkedik és ahol túl széles lesz
Néhány helyszínnek valóban széleskörű kapcsolatra van szüksége. Egy raktár központi ERP-re támaszkodhat, miközben helyi nyomtatókat, szkennereket és működési eszközöket is használ. Egy kiskereskedelmi fióknak több hátsó irodai rendszerre lehet szüksége, amelyek a központi szolgáltatásokhoz kapcsolódnak. Egy ipari vagy mezőgazdasági helyszín helyi eszközökre támaszkodhat, amelyeknek szinkronban kell maradniuk a központi rendszerekkel.
Ilyen esetekben a széleskörű webhelykapcsolat indokolt lehet, mivel a webhely maga is a működési környezet része. A kulcs az, hogy felismerjük, hogy ez a legnehezebb hozzáférési modell. A legszélesebb bizalmi kapcsolatot hozza létre, ezért ezt olyan esetekre kell fenntartani, ahol egy szűkebb tervezés megszakítaná a munkafolyamatot.
Bővített webhelykapcsolat biztonsági prioritásai
Ez az a hely, ahol a biztonsági fegyelem a legfontosabb. Miután egy webhely széles körben csatlakozik, a szegmentálás, a naplózás, a tűzfal politika és a hozzáférési korlátozások elengedhetetlenné válnak. A TSplus Advanced Security itt nem azért releváns, mert létrehozza a kapcsolódást, hanem mert segít megvédeni a nyitott hozzáférési utakat és az érzékeny Windows-alapú infrastruktúrát olyan funkciókkal, mint a tűzfal, a hacker IP védelem, a földrajzi védelem, a bruteforce védelem, a biztonságos munkamenetek és a jogosultságok.
Egy jó szabály egyszerű: ha a távoli helyen a felhasználóknak valóban csak egy vagy két alkalmazásra van szükségük, ne állítsuk be automatikusan a teljes helyszíni bizalmat. Ez általában túl sok tervezés túl kevés szükséglethez.
Használati eset 2: Mikor van valóban szükség a biztonságos felhasználó-hálózati hozzáférésre?
Tipikus ágazati és hibrid munkafolyamatok
Néha a fióknak vagy a másodlagos helyszínnek egyáltalán nincs szüksége széleskörű kiterjesztésre. Ehelyett néhány alkalmazottnak hozzáférésre van szüksége több belső erőforráshoz. Ez egy másik probléma. Ez felhasználói szintű távoli hozzáférés, nem helyszíni szintű távoli hozzáférés.
Ez a modell gyakori a hibrid működésekben. Egy regionális menedzsernek, pénzügyi vezetőnek vagy kis adminisztratív csapatnak szüksége lehet több belső eszközre egy műholdas irodából. A megfelelő tervezést itt az egyéni identitás, eszköz, munkamenet és irányelv alakítja, nem pedig az egész helyszín megbízható kiterjesztésként való kezelése.
Ahol a felhasználó-specifikus jobban illeszkedik, mint az oldal-szintű kiterjesztés
Ez a megkülönböztetés fontos, mert a felhasználó-hálózati hozzáférés még mindig túl széles lehet. Ha egy felhasználónak valóban csak egy alkalmazásra van szüksége, a széleskörű belső hozzáférés kockázatot jelent anélkül, hogy értéket adna hozzá. Határozottan támogatjuk a kitettség csökkentését és a lehető legkisebb jogosultságok alkalmazását, különösen a kis- és középvállalkozások és a megosztott környezetek esetében.
Felhasználói szintű távoli hozzáférés biztonsági prioritásai
A TSplus Advanced Security támogatja ezt a modellt azzal, hogy ellenőrzéseket ad hozzá, hogy ki csatlakozhat, honnan és milyen feltételek mellett. A Földrajzi Védelem korlátozhatja a hozzáférést a magán- és fehérlistás IP-címekhez vagy a választott régiókhoz. A Bruteforce Protection automatikusan feketelistára teheti a problémás IP-ket a többszöri sikertelen bejelentkezés után. Ez segít átalakítani egy széles "távoli felhasználó" problémát egy jobban ellenőrzött, politikai alapú hozzáférési úttá.
Használati eset 3: Mikor van szükség biztonságos adminisztrátori vagy szerverhozzáférésre?
Tipikus IT és MSP forgatókönyvek
A távoli helyszíni kapcsolódási projektek nagy része valójában IT-adminisztrációs projekt. Egy MSP-nek karbantartania kell egy kliensszervert. Egy belső adminisztrátornak frissítenie kell egy távoli hosztot. Egy helpdesk technikusnak hibaelhárítania kell egy Windows munkamenet környezetet. Ebből egyik sem igényli, hogy a normál felhasználók vagy a teljes helyszín ugyanazt a szintű hozzáférést kapják.
Miért kell, hogy az adminisztrátori hozzáférés különálló legyen a normál felhasználói hozzáféréstől
Az admin hozzáférést saját kategóriaként kell kezelni, mivel természeténél fogva privilégiumot élvez. A legbiztonságosabb tervezés általában az, amely elkülöníti az admin forgalmat a normál felhasználói munkafolyamatoktól, korlátozza, honnan csatlakozhatnak az adminok, és sokkal agresszívebben megerősíti a belépési utat, mint egy standard felhasználói csatorna.
Ügyesen megtervezett biztonsági funkciók az optimális védelem érdekében
Ez az egyik legerősebb érvet képviseli az Advanced Security szoftverünk és annak funkciói mellett. A termék Bruteforce Protection funkciója kifejezetten a Windows sikertelen bejelentkezési kísérleteinek figyelésére és a támadó IP-k feketelistára helyezésére lett tervezve. Tűzfala, jogosultságai, biztonságos munkamenetei és jelentései közvetlenül hasznosak, amikor a cél egy nyilvánosan elérhető Windows szerver vagy távoli adminisztrációs útvonal.
Privilegált távoli hozzáférés biztonsági prioritások
Ez az is, ahol nem minden termékfunkciónk érvényesül ugyanúgy. Például a Megbízható Eszközök a TSplus Remote Access Web Portálról érkező kapcsolatokkal működik. Valójában a dokumentációnk megjegyzi, hogy a Web Portál nem kompatibilis az HTML5 munkamenetekkel vagy az iOS és Android eszközökkel, amelyek elrejtik a hosztneveket. Ez fontos, amikor az adminisztrátori munkafolyamatokhoz eszközbizalom érvényesítést tervezünk.
Hibaelhárítást végez az RDP-n, vagy biztosítja az adminisztrátori belépési pontokat a fiókok és másodlagos helyszínek között? Tudta? Kérdezzen tőlünk, és együtt ütemezünk egy irányított bemutatót a TSplus Advanced Security-ról.
Használati eset 4: Mikor a csak alkalmazásra korlátozott vagy a legkisebb jogosultságú hozzáférés a jobb válasz?
Tipikus ágazati, szállítói és feladat-alapú forgatókönyvek
Ez gyakran a legtisztább modell, és az, amit sok környezet figyelmen kívül hagy. Ha egy ágazati alkalmazottnak csak egy ERP képernyőre, egy ütemező rendszerre, egy könyvelő eszközre vagy egy másik kiadott Windows alkalmazásra van szüksége, a széleskörű távoli hozzáférés gyakran felesleges. A helyes válasz nem a „több hálózat.” Hanem a „kevesebb hozzáférés, jobb megoldás.”
Miért csökkenti a korlátozott hozzáférés a kockázatot
Ez az a hely, ahol a termékcsaládunk egy másik terméke rendkívül relevánssá válik. A TSplus Remote Access támogat egy biztonságos Web Portált és alkalmazáskiadást, amely lehetővé teszi a felhasználók számára, hogy egy ellenőrzött alkalmazáshoz vagy asztali élményhez férjenek hozzá anélkül, hogy megnyitnák a szélesebb környezetet. Függetlenül a szállítóeszköztől, az alkalmazás-alapú hozzáférés a megfelelő tervezési választás ebben a forgatókönyvben.
Kibocsátott és korlátozott hozzáférésű biztonsági prioritások
A TSplus Advanced Security középpontban marad, mert még egy szűkebb hozzáférési modellnek is szüksége van védelemre. A nyilvános alkalmazásszerverek és a webes hozzáférési útvonalak továbbra is támadási felületek. Olvassa el biztonságos webes átjárónkról szóló cikkünket a bruteforce védelemről és a földrajzi IP szűrésről. Ezek különösen fontosak az kiemelt RDP és webportál szolgáltatások számára, és pontosan az ilyen típusú megerősítésre van szüksége az alkalmazás szállításának.
A legkisebb jogosultságú hozzáférés a megfelelő modell a beszállítók, alvállalkozók és ideiglenes partnerek számára is. Ha egy harmadik félnek szüksége van egy belső eszközre, egy karbantartási felületre vagy egy időkorlátos munkafolyamatra, akkor ennél szélesebb hozzáférés biztosítása nem kényelmes. Ez túlzott kitettség.
Hogyan választhatja ki a legbiztonságosabb modellt minden távoli helyszínhez?
Egy gyakorlati döntési keretrendszer négy kérdéssel kezdődik.
Először is, mit kell elérni?
Ha a válasz „megosztott helyi infrastruktúra és több belső rendszer”, akkor a hálózatok közötti kapcsolódás indokolt lehet. Ha a válasz „néhány belső erőforrás kiválasztott felhasználók számára”, akkor a felhasználó-hálózat hozzáférés közelebb áll. Ha a válasz „szerverkezelés és karbantartás”, akkor ez egy adminisztrátori hozzáférési probléma. Ha a válasz „egy alkalmazás vagy egy feladat”, akkor az alkalmazás-specifikus vagy legkisebb jogosultságú hozzáférésnek kell vezetnie a tervezést.
Másodszor, kinek van szüksége hozzáférésre?
Egy egész fiók, egy kis felhasználói csoport, egy IT csapat és egy külső szolgáltató nem örökölheti ugyanazt a bizalmi modellt.
Harmadszor, mennyi kitettség elfogadható?
Minél szélesebb a hatókör, annál erősebbeknek kell lenniük a kompenzáló intézkedéseknek. A TSplus saját biztonsági pozicionálása következetesen a csökkentett kitettséget, az erősebb identitást, a szabályzatok érvényesítését és a széleskörű alapértelmezett bizalom helyett a megfigyelést részesíti előnyben.
Negyedik, milyen támogatási terhet tud valójában elviselni a környezet?
Kis IT csapatoknak és MSP-knek olyan megoldásokra van szükségük, amelyek biztonságosak, de kezelhetőek. Ez az egyik oka annak, hogy a TSplus az Advanced Security-t gyakorlati védelem köré helyezi, felesleges bonyolultság nélkül.
Hol illeszkedik legjobban a TSplus Advanced Security?
Védett hozzáférési útvonalak
A TSplus Advanced Security alapvető fontosságú ahhoz, hogy biztosítsa a választott távoli helyszín modellt a funkcióival:
Hacker IP védelem,
Földrajzi védelem,
Bruteforce Protection
Korlátozott Munkaidő
Tűzfal,
Figyelmeztetések,
Jelentések,
Ransomware védelem,
Engedélyek,
Biztonságos ülések
és megbízható eszközök.
Politika érvényesítése földrajzi, IP és munkamenet-ellenőrzésekkel
Ez a 360-as eszköz a Windows-alapú, nyitott távoli hozzáférési útvonalakkal rendelkező elosztott környezetek védelmére készült. A gyorsindító dokumentációja a Ransomware Protection, Bruteforce Protection és a Geographic Protection elemeit helyezi a kezdeti beállítás középpontjába, ami tükrözi a termék gyakorlati megerősítésre összpontosító jellegét. Az ágazati és másodlagos helyszínek esetében ez a kombináció hasznos, mivel a fő kockázatok gyakran megismétlődő bejelentkezési támadások, túl széles forrás-hozzáférés, munkamenet-misuse és a ransomware elterjedésének üzleti hatása a hozzáférhető rendszereken keresztül.
A ransomware és a visszaélések elleni védelem megerősítése elosztott környezetekben
A Ransomware védelem különösen fontos elosztott környezetekben. Azonosítja, blokkolja és megakadályozza a ransomware-t, statikus és viselkedésalapú elemzést használva, és reagálni tud, amint ransomware-t észlel egy munkamenetben. Ez értékes, amikor egy kompromittált végpont, távoli felhasználó vagy fióki munkafolyamat középponttá válik a központi rendszerekhez.
Valós távoli helyszínek példái
Egyáltalán kiskereskedelmi ág gyakran illeszkedik az alkalmazás-alapú modellhez. A munkatársak általában egy korlátozott üzleti eszközkészletre van szükségük, nem széleskörű hálózati elérésre. A biztonságosabb tervezés gyakran nyilvános hozzáférést és megerősített belépési pontokat tartalmaz.
Egyáltalán raktár vagy ipari telephely valószínűbb, hogy széleskörű kapcsolódást indokol, mivel a helyi eszközöknek és a központi rendszereknek folyamatos koordinációra van szükségük. Még ekkor is az adminisztrátori hozzáférésnek külön kell maradnia és szigorúan ellenőrzöttnek kell lennie.
Egyáltalán műholdas egészségügyi iroda általában erősebb körülhatárolást igényel. Különböző szerepek különböző rendszereket igényelnek, és a széleskörű hozzáférés biztonsági és megfelelőségi problémákat is okozhat. A felhasználói szintű vagy alkalmazás szintű hozzáférés gyakran jobb kiindulópont, mint a teljes körű kapcsolódás.
Egy MSP-kezelt ügyfélszolgálat általában adminisztrátori/szerverhozzáférési probléma. A szolgáltatónak biztonságos, auditálható támogatási útra van szüksége, nem pedig nyitott, széleskörű bizalomra az egész ügyfélkörnyezetben.
Összegzésképpen: Kezdje az hozzáférési terjedelemmel, majd biztosítsa azt megfelelően.
A távoli webhelyek csatlakozása nem egy probléma egy válasszal. Néhány webhely széleskörű csatlakozást igényel. Néhány kiválasztott felhasználók számára kér hozzáférést. Néhány jogosultságokkal rendelkező adminisztrátori utakat igényel. Néhány csak egy közzétett alkalmazásra vagy egy szigorúan meghatározott munkafolyamatra van szüksége.
Ezért a legjobb biztonságos tervezési kérdés nem az, hogy „Melyik biztonságos távoli hozzáférési protokoll hangzik a legerősebbnek?”, hanem az, hogy „Mi a legkisebb gyakorlati hozzáférési modell, amely még mindig lehetővé teszi ennek a távoli helynek a működését?” Miután erre válaszoltak, a biztonság világosabbá és könnyebben fenntarthatóvá válik.
A TSplus Advanced Security jól illeszkedik ehhez a stratégiához. Nem kérdezi meg, hogy egyformán bízzon meg minden távoli helyszínben. Segít megerősíteni a választott utat a releváns, megfelelő és jól fókuszált védelmekkel a legfontosabb elosztott környezetek számára, amelyek a legnagyobb mértékben befolyásolják a felhasználását.
GYIK
1. Mi a legjobb módja a távoli helyek távoli kapcsolatok biztonságának?
A legjobb módja az, hogy az hozzáférési modellt a valós igényekhez igazítjuk. Néhány távoli helyszín széleskörű kapcsolatra van szüksége, de sokan csak felhasználói, adminisztrátori vagy alkalmazás-specifikus hozzáférést igényelnek. A biztonság javul, amikor a hozzáférési területet csökkentjük, mielőtt a kontrollokat hozzáadnánk.
2. Szükséges-e minden fióknak teljes hálózat-hálózat kapcsolat?
Nem. Sok ágnak csak néhány belső alkalmazásra vagy egy ellenőrzött adminisztrátori útra van szüksége. A széleskörű bizalom kiterjesztése az egész webhelyre növelné a kockázatot és a bonyolultságot anélkül, hogy javítaná a felhasználói eredményt.
3. Mikor jobb a felhasználó-hálózat hozzáférés, mint a teljes webhelyszintű kapcsolódás?
Jobb, ha a kiválasztott felhasználóknak több belső erőforrásra van szükségük, de az oldalnak magának nem kell teljes hálózati kiterjesztésként működnie. Ez szorosabbra fűzi a bizalmat az identitással és a politikával.
4. Mikor a jobb választás az alkalmazás-alapú hozzáférés?
Az alkalmazás-alapú hozzáférés gyakran a legjobb, amikor a felhasználóknak egy vagy néhány üzleti alkalmazásra van szükségük, nem pedig széleskörű hálózati elérésre. Csökkenti a túlzott kitettséget, és jobban illeszkedik a legkisebb jogosultság elvéhez.
5. Hogyan segít a TSplus Advanced Security megvédeni a távoli helyi hozzáférést?
A TSplus Advanced Security olyan vezérlőket ad hozzá, mint a földrajzi védelem, a bruteforce védelem, a tűzfal, az engedélyek, a biztonságos munkamenetek, a megbízható eszközök és a ransomware védelem, hogy segítsen megerősíteni a távoli hozzáférési utakat és a megosztott Windows környezeteket.
)
)
)
