)
)
Konektivitas situs jarak jauh yang aman dimulai dengan kebutuhan akses nyata dari setiap cabang, gudang, klinik, outlet ritel, pertanian, lokasi industri, atau lokasi pelanggan yang dikelola. Di sini kami memusatkannya pada empat kebutuhan praktis: konektivitas jaringan-ke-jaringan, akses pengguna-ke-jaringan, akses admin/server, dan akses hanya aplikasi atau akses dengan hak istimewa paling sedikit.
Reframing ini mengubah ruang lingkup protokol akses jarak jauh yang aman untuk situasi cabang menjadi sumber solusi praktis yang dapat Anda gunakan kembali. Kami bahkan menerapkannya pada beberapa kasus spesifik. Kami akan mengakhiri dengan menunjukkan peran yang dimainkan oleh TSplus Advanced Security dalam melindungi lingkungan akses jarak jauh yang terdistribusi.
Mengapa keputusan konektivitas situs jarak jauh yang aman sering kali salah?
Mulai dengan teknologi alih-alih cakupan akses
Banyak proyek akses jarak jauh dimulai dengan alat yang familiar alih-alih kasus penggunaan yang terdefinisi. Sebuah kantor sekunder dibuka, gudang baru mulai beroperasi, atau seorang MSP mengontrak situs pelanggan, dan reaksi pertama sering kali adalah memperluas konektivitas secara luas. Pendekatan itu bisa berhasil, tetapi juga bisa memberikan situs jarak jauh jangkauan yang jauh lebih besar daripada yang sebenarnya dibutuhkan.
Mengapa satu "situs jarak jauh" tidak sama dengan satu "model akses"?
Itu adalah kesalahan desain. Semua situs jarak jauh bukanlah satu kategori teknis tunggal. Satu situs membutuhkan infrastruktur bersama dan konektivitas lini bisnis yang berkelanjutan. Situs lain hanya membutuhkan beberapa pengguna untuk mengakses sumber daya internal. Situs lain terutama membutuhkan administrasi TI. Situs lain membutuhkan satu aplikasi yang dipublikasikan dan tidak ada yang lain. Perlakuan yang sama terhadap keempat kasus tersebut menciptakan kepercayaan yang tidak perlu, lebih banyak paparan, dan lebih banyak beban keamanan.
Panduan NIST tentang akses jarak jauh menyampaikan poin yang sama dalam istilah yang lebih formal: akses jarak jauh harus dirancang untuk menjaga keamanan sambil membatasi paparan yang tidak perlu. Dengan kata lain, pertanyaan pertama yang tepat bukanlah "Metode koneksi mana yang sudah kita ketahui?" tetapi "Apa yang sebenarnya harus dicapai oleh situs, pengguna, atau admin ini?"
Model konektivitas jarak jauh yang aman mana yang paling penting?
Untuk sebagian besar lingkungan kantor cabang dan situs sekunder, konektivitas jarak jauh terbagi menjadi empat model praktis.
Konektivitas antar jaringan
Yang pertama adalah akses jaringan-ke-jaringan Ini adalah model mental yang tepat ketika situs jarak jauh itu sendiri perlu berperilaku seperti bagian dari organisasi yang lebih luas. Infrastruktur lokal, sistem situs, sumber daya bersama, dan layanan pusat harus semua bekerja sama secara konsisten.
Akses pengguna-ke-jaringan
Yang kedua mencakup koneksi pengguna-ke-jaringan Di sini, situs ini tidak memerlukan ekstensi yang luas, tetapi orang tertentu membutuhkannya. Staf mungkin memerlukan beberapa sumber daya internal dari kantor jarak jauh, ruang kerja di rumah yang terhubung dengan alur kerja cabang, atau saat berpindah antara lokasi.
Akses admin/server
Akses ketiga fasilitas admin/server Ini adalah untuk operasi TI. Persyaratan utamanya adalah pemeliharaan yang terkontrol, dukungan, pemecahan masalah, dan administrasi server, bukan jangkauan pengguna akhir yang luas.
Akses hanya aplikasi atau akses dengan hak istimewa paling sedikit
Keempat adalah akses hanya aplikasi atau akses dengan hak istimewa paling sedikit Model ini paling cocok ketika pengguna, kontraktor, atau vendor hanya memerlukan aplikasi tertentu atau sumber daya yang didefinisikan secara sempit. Ini sangat sesuai dengan preferensi kami untuk Zero Trust. Secara keseluruhan, kami menekankan pentingnya memverifikasi pengguna, perangkat, dan sesi daripada mempercayai jalur hanya karena itu ada.
Use case 1: Kapan sebuah situs jarak jauh benar-benar membutuhkan konektivitas jaringan-ke-jaringan yang aman?
Di mana model ini cocok dan di mana ia menjadi terlalu luas
Beberapa situs benar-benar membutuhkan konektivitas yang luas. Sebuah gudang mungkin bergantung pada ERP pusat sambil juga menggunakan printer, pemindai, dan perangkat operasional lokal. Sebuah cabang ritel mungkin memerlukan beberapa sistem back-office yang terhubung dengan layanan pusat. Sebuah situs industri atau pertanian mungkin bergantung pada aset lokal yang harus tetap disinkronkan dengan sistem inti.
Dalam kasus tersebut, konektivitas situs yang luas dapat dibenarkan karena situs itu sendiri adalah bagian dari lingkungan operasi. Kuncinya adalah mengenali bahwa ini adalah model akses yang paling berat. Ini menciptakan hubungan kepercayaan yang paling luas, jadi harus disimpan untuk kasus di mana desain yang lebih sempit akan merusak alur kerja.
Prioritas keamanan untuk konektivitas situs yang diperluas
Ini juga merupakan tempat di mana disiplin keamanan sangat penting. Setelah sebuah situs terhubung secara luas, segmentasi, pencatatan, kebijakan firewall, dan pembatasan akses menjadi penting. TSplus Advanced Security relevan di sini bukan karena menciptakan konektivitas, tetapi karena membantu melindungi jalur akses yang terbuka dan infrastruktur berbasis Windows yang sensitif dengan fitur seperti Firewall, Perlindungan IP Hacker, Perlindungan Geografis, Perlindungan Bruteforce, Sesi Aman, dan Izin.
Aturan yang baik adalah sederhana: jika pengguna di situs jarak jauh benar-benar hanya membutuhkan satu atau dua aplikasi, jangan secara otomatis memberikan kepercayaan penuh di seluruh situs. Itu biasanya terlalu banyak desain untuk kebutuhan yang terlalu sedikit.
Use case 2: Kapan akses pengguna-ke-jaringan yang aman menjadi kebutuhan yang nyata?
Skenario kerja cabang dan hibrida yang khas
Terkadang cabang atau lokasi sekunder tidak memerlukan perluasan yang luas sama sekali. Sebaliknya, sekelompok kecil karyawan memerlukan akses ke beberapa sumber daya internal. Itu adalah masalah yang berbeda. Ini adalah akses jarak jauh tingkat pengguna, bukan akses jarak jauh tingkat situs.
Model ini umum dalam operasi hibrida. Seorang manajer regional, pemimpin keuangan, atau tim administrasi kecil mungkin memerlukan beberapa alat internal dari kantor satelit. Desain yang tepat di sini dibentuk oleh identitas individu, perangkat, sesi, dan kebijakan, bukan dengan memperlakukan seluruh situs sebagai ekstensi yang tepercaya.
Di mana kecocokan spesifik pengguna lebih baik daripada ekstensi di seluruh situs
Perbedaan itu penting karena akses pengguna-ke-jaringan masih bisa menjadi terlalu luas. Jika seorang pengguna benar-benar hanya membutuhkan satu aplikasi, memberikan akses internal yang luas menambah risiko tanpa menambah nilai. Kami adalah pendukung tegas untuk mengurangi paparan dan menerapkan hak akses minimum jika memungkinkan, terutama untuk lingkungan SMB dan terdistribusi.
Prioritas keamanan untuk akses jarak jauh tingkat pengguna
TSplus Advanced Security mendukung model ini dengan menambahkan kontrol tentang siapa yang dapat terhubung, dari mana, dan dalam kondisi apa. Perlindungan Geografis dapat membatasi akses ke alamat IP pribadi dan yang telah di-whitelist atau wilayah yang dipilih. Perlindungan Bruteforce dapat secara otomatis mem-blacklist IP yang melanggar setelah beberapa kali login yang gagal. Itu membantu mengubah masalah "pengguna jarak jauh" yang luas menjadi jalur akses yang lebih terkontrol dan berbasis kebijakan.
Kasus penggunaan 3: Kapan akses admin atau server yang aman benar-benar diperlukan?
Skenario TI dan MSP yang umum
Sebagian besar proyek konektivitas situs jarak jauh yang disebutkan sebenarnya adalah proyek administrasi TI. Seorang MSP perlu memelihara server klien. Seorang admin internal perlu memperbarui host jarak jauh. Seorang teknisi helpdesk perlu memecahkan masalah lingkungan sesi Windows. Tidak ada yang memerlukan pemberian akses tingkat yang sama kepada pengguna biasa atau seluruh situs.
Mengapa akses admin harus tetap terpisah dari akses pengguna biasa
Akses admin harus diperlakukan sebagai kategori tersendiri karena secara alami memiliki hak istimewa. Desain yang paling aman biasanya adalah yang menjaga lalu lintas admin terpisah dari alur kerja pengguna biasa, membatasi dari mana admin dapat terhubung, dan menguatkan jalur masuk jauh lebih agresif daripada saluran pengguna standar.
Fitur keamanan yang dirancang dengan cermat untuk perlindungan optimal
Ini adalah salah satu panggilan terkuat untuk perangkat lunak Advanced Security kami dan fitur-fiturnya. Perlindungan Bruteforce produk ini dirancang secara eksplisit untuk memantau upaya login Windows yang gagal dan memblokir IP yang menyerang. Firewall, Izin, Sesi Aman, dan laporan sangat berguna ketika targetnya adalah server Windows yang dapat diakses publik atau jalur administrasi jarak jauh.
Prioritas keamanan untuk akses jarak jauh yang istimewa
Ini juga di mana tidak semua fitur produk kami berlaku dengan cara yang sama. Misalnya, Perangkat Tepercaya berfungsi dengan koneksi dari TSplus Remote Access Web Portal. Anda sebenarnya akan menemukan catatan dokumentasi kami bahwa Web Portal tidak kompatibel dengan sesi HTML5 atau perangkat iOS dan Android yang menyembunyikan nama host. Itu penting saat merencanakan penegakan kepercayaan perangkat untuk alur kerja admin.
Apakah Anda sedang memecahkan masalah RDP atau mengamankan titik masuk admin di cabang dan situs sekunder? Apakah Anda tahu? Tanyakan kepada kami dan bersama-sama kita akan menjadwalkan demo terpandu dari TSplus Advanced Security.
Use case 4: Kapan akses hanya aplikasi atau akses dengan hak istimewa paling sedikit adalah jawaban yang lebih baik?
Skenario cabang, vendor, dan berbasis tugas yang khas
Ini seringkali merupakan model yang paling bersih dan yang sering diabaikan oleh banyak lingkungan. Jika seorang karyawan cabang hanya membutuhkan layar ERP, sistem penjadwalan, alat akuntansi, atau aplikasi Windows lain yang diterbitkan, akses jarak jauh yang luas sering kali tidak diperlukan. Jawaban yang tepat bukanlah "lebih banyak jaringan." Melainkan "akses yang lebih sedikit, disampaikan dengan lebih baik."
Mengapa akses terbatas mengurangi risiko
Ini adalah tempat di mana produk lain dalam rangkaian kami menjadi sangat relevan. TSplus Remote Access mendukung Portal Web yang aman dan penerbitan aplikasi, yang memungkinkan pengguna mengakses aplikasi atau pengalaman desktop yang terkontrol tanpa membuka lingkungan yang lebih luas. Terlepas dari alat pengiriman itu sendiri, akses hanya aplikasi adalah pilihan desain yang tepat untuk skenario ini.
Prioritas keamanan untuk akses publik dan terbatas
TSplus Advanced Security tetap menjadi pusat karena bahkan model akses yang lebih sempit masih memerlukan perlindungan. Server aplikasi yang menghadap publik dan jalur akses web masih merupakan permukaan yang rentan terhadap serangan. Baca artikel gerbang web aman kami untuk informasi lebih lanjut tentang perlindungan terhadap serangan brute-force dan pemfilteran IP geografis. Mereka sangat penting untuk layanan RDP dan portal web yang terekspos dan merupakan jenis penguatan yang dibutuhkan oleh pengiriman aplikasi yang berorientasi cabang.
Akses dengan hak minimum juga merupakan model yang tepat untuk vendor, kontraktor, dan mitra sementara. Jika pihak ketiga membutuhkan satu alat internal, satu antarmuka pemeliharaan, atau satu alur kerja terbatas waktu, memberikan mereka akses yang lebih luas dari itu bukanlah kenyamanan. Itu adalah paparan berlebihan.
Bagaimana Anda dapat memilih model yang paling aman untuk setiap situs jarak jauh?
Kerangka keputusan praktis dimulai dengan empat pertanyaan.
Pertama, apa yang harus dicapai?
Jika jawabannya adalah "infrastruktur situs bersama dan beberapa sistem internal," konektivitas jaringan-ke-jaringan mungkin dibenarkan. Jika jawabannya adalah "beberapa sumber daya internal untuk pengguna terpilih," akses pengguna-ke-jaringan lebih mendekati. Jika jawabannya adalah "manajemen dan pemeliharaan server," ini adalah masalah akses admin. Jika jawabannya adalah "satu aplikasi atau satu tugas," akses hanya aplikasi atau akses dengan hak minimal harus memimpin desain.
Kedua, siapa yang membutuhkan akses?
Sebuah kantor cabang utuh, sekelompok pengguna kecil, tim TI, dan vendor eksternal tidak boleh mewarisi model kepercayaan yang sama.
Ketiga, seberapa banyak paparan yang dapat diterima?
Semakin luas jangkauannya, semakin kuat kontrol kompensasi yang harus diterapkan. Posisi keamanan TSplus sendiri secara konsisten mendukung pengurangan paparan, identitas yang lebih kuat, penegakan kebijakan, dan pemantauan daripada kepercayaan default yang luas.
Keempat, beban dukungan apa yang sebenarnya dapat ditanggung oleh lingkungan?
Tim TI kecil dan MSP membutuhkan desain yang aman tetapi dapat dikelola. Itulah salah satu alasan mengapa TSplus memposisikan Advanced Security di sekitar perlindungan praktis tanpa kompleksitas yang tidak perlu.
Di mana TSplus Advanced Security paling cocok?
Melindungi jalur akses yang terpapar
TSplus Advanced Security adalah inti untuk membantu mengamankan model situs jarak jauh mana pun yang Anda pilih dengan fitur-fiturnya:
Perlindungan IP Hacker,
Perlindungan Geografis,
Perlindungan Bruteforce,
Batasi Jam Kerja,
Firewall,
Peringatan,
Laporan,
Perlindungan Ransomware,
Izin,
Sesi Aman
dan Perangkat Tepercaya.
Menegakkan kebijakan dengan geo, IP, dan kontrol sesi
Alat 360 ini dirancang untuk melindungi lingkungan berbasis Windows yang terdistribusi dengan jalur akses jarak jauh yang terbuka. Dokumentasi awalnya menempatkan Perlindungan Ransomware, Perlindungan Bruteforce, dan Perlindungan Geografis di pusat pengaturan awal, yang mencerminkan fokus penguatan praktis produk ini. Untuk cabang dan situs sekunder, kombinasi itu berguna karena risiko utama sering kali berupa serangan login berulang, akses sumber yang terlalu luas, penyalahgunaan sesi, dan dampak bisnis dari ransomware yang menyebar melalui sistem yang dapat dijangkau.
Memperkuat lingkungan terdistribusi terhadap ransomware dan penyalahgunaan
Perlindungan Ransomware sangat relevan di lingkungan terdistribusi. Ini mendeteksi, memblokir, dan mencegah ransomware, menggunakan analisis statis dan perilaku, dan dapat bereaksi segera setelah mendeteksi ransomware dalam sesi. Itu sangat berharga ketika titik akhir yang terkompromi, pengguna jarak jauh, atau alur kerja cabang menjadi titik pivot ke sistem pusat.
Contoh situs jarak jauh di dunia nyata
A cabang ritel sering cocok dengan model aplikasi saja. Staf biasanya memerlukan seperangkat alat lini bisnis yang terbatas, bukan jangkauan jaringan yang luas. Desain yang lebih aman sering kali adalah akses publik ditambah titik masuk yang diperkuat.
A gudang atau lokasi industri lebih mungkin untuk membenarkan konektivitas yang luas karena perangkat lokal dan sistem pusat memerlukan koordinasi yang terus-menerus. Meskipun demikian, akses admin harus tetap terpisah dan dikendalikan dengan ketat.
A kantor kesehatan satelit biasanya membutuhkan pengaturan yang lebih ketat. Peran yang berbeda memerlukan sistem yang berbeda, dan akses yang luas dapat menimbulkan masalah keamanan dan kepatuhan. Akses tingkat pengguna atau tingkat aplikasi sering kali merupakan titik awal yang lebih baik daripada konektivitas yang menyeluruh.
An situs pelanggan yang dikelola MSP biasanya merupakan masalah akses admin/server terlebih dahulu. Penyedia memerlukan jalur dukungan yang aman dan dapat diaudit, bukan kepercayaan yang terbuka dan luas ke seluruh lingkungan pelanggan.
Untuk menyimpulkan: Mulailah dengan ruang akses, kemudian amankan dengan baik.
Konektivitas situs jarak jauh bukanlah satu masalah dengan satu jawaban. Beberapa situs memerlukan konektivitas yang luas. Beberapa memerlukan akses untuk pengguna tertentu. Beberapa memerlukan jalur admin yang istimewa. Beberapa hanya memerlukan satu aplikasi yang dipublikasikan atau alur kerja yang sangat terbatas.
Itulah mengapa pertanyaan desain keamanan terbaik bukanlah "Protokol akses jarak jauh aman mana yang terdengar paling kuat?" tetapi "Apa model akses praktis terkecil yang masih memungkinkan situs jarak jauh ini beroperasi?" Setelah itu dijawab, keamanan menjadi lebih jelas dan lebih mudah untuk ditegakkan.
TSplus Advanced Security cocok dengan strategi ini. Ini tidak meminta Anda untuk mempercayai setiap situs jarak jauh secara sama. Ini membantu Anda memperkuat jalur yang dipilih dengan langkah-langkah perlindungan yang relevan, tepat, dan terfokus dengan baik untuk lingkungan terdistribusi yang paling penting bagi penggunaan Anda.
FAQ
1. Apa cara terbaik untuk mengamankan koneksi jarak jauh untuk situs jarak jauh?
Cara terbaik adalah mencocokkan model akses dengan kebutuhan yang sebenarnya. Beberapa situs jarak jauh memerlukan konektivitas yang luas, tetapi banyak yang hanya memerlukan akses tingkat pengguna, tingkat admin, atau akses hanya aplikasi. Keamanan meningkat ketika cakupan akses dikurangi sebelum kontrol ditambahkan.
2. Apakah setiap kantor cabang memerlukan konektivitas jaringan-ke-jaringan penuh?
Tidak. Banyak cabang hanya memerlukan beberapa aplikasi internal atau jalur admin yang terkontrol. Memperluas kepercayaan yang luas ke seluruh situs akan meningkatkan risiko dan kompleksitas tanpa meningkatkan hasil pengguna.
3. Kapan akses pengguna-ke-jaringan lebih baik daripada konektivitas penuh di seluruh situs?
Lebih baik ketika pengguna terpilih membutuhkan beberapa sumber daya internal tetapi situs itu sendiri tidak perlu berfungsi sebagai perpanjangan jaringan penuh. Ini menjaga kepercayaan lebih erat terkait dengan identitas dan kebijakan.
4. Kapan akses hanya aplikasi menjadi pilihan yang lebih baik?
Akses hanya aplikasi seringkali lebih baik ketika pengguna membutuhkan satu atau beberapa aplikasi bisnis daripada jangkauan jaringan yang luas. Ini mengurangi paparan berlebih dan lebih selaras dengan desain hak akses minimal.
5. Bagaimana TSplus Advanced Security membantu melindungi akses situs jarak jauh?
TSplus Advanced Security menambahkan kontrol seperti Perlindungan Geografis, Perlindungan Bruteforce, Firewall, Izin, Sesi Aman, Perangkat Tepercaya, dan Perlindungan Ransomware untuk membantu memperkuat jalur akses jarak jauh dan lingkungan Windows yang terdistribusi.
)
)
)
