)
)
安全なリモートサイト接続は、各支店、倉庫、クリニック、小売店、農場、工業用地、または管理された顧客の場所の実際のアクセス要件から始まります。ここでは、ネットワーク間接続、ユーザーからネットワークへのアクセス、管理者/サーバーアクセス、アプリ専用または最小特権アクセスという4つの実用的なニーズに焦点を当てています。
この再構成は、支店の状況における安全なリモートアクセスプロトコルの範囲を、再利用可能な実用的なソリューションの源に変えます。私たちは、いくつかの特定のケースにも適用しています。最後に、分散リモートアクセス環境を保護する上でのTSplus Advanced Securityの役割を示します。
なぜ安全なリモートサイト接続の決定はしばしば間違ってしまうのか?
技術から始めるアクセス範囲ではなく
多くのリモートアクセスプロジェクトは、定義されたユースケースの代わりに馴染みのあるツールから始まります。サブオフィスが開設され、新しい倉庫が稼働し、またはMSPが顧客サイトをオンボードすると、最初の反応はしばしば広範な接続性を拡張することです。そのアプローチは機能することもありますが、リモートサイトに実際に必要以上の範囲を与えることもあります。
なぜ「リモートサイト」が「アクセスモデル」と等しくないのか?
それは設計上の誤りです。すべてのリモートサイトは単一の技術カテゴリではありません。あるサイトは共有インフラストラクチャと持続的な業務接続が必要です。別のサイトは内部リソースにアクセスするために数人のユーザーだけが必要です。別のサイトは主にIT管理が必要です。別のサイトは1つの公開アプリケーションだけが必要で、他には何も必要ありません。これら4つのケースを同じように扱うことは、不必要な信頼を生み出し、さらなる露出とセキュリティのオーバーヘッドを引き起こします。
NISTのリモートアクセスに関するガイダンスは、より正式な言葉で同じ点を指摘しています:リモートアクセスは、不要な露出を制限しながらセキュリティを保持するように設計されるべきです。言い換えれば、最初の正しい質問は「私たちがすでに知っている接続方法はどれですか?」ではなく、「このサイト、ユーザー、または管理者は正確に何に到達する必要がありますか?」です。
最も重要な4つの安全なリモート接続モデルは何ですか?
支店およびセカンダリサイト環境のほとんどでは、リモート接続は4つの実用的なモデルに分類されます。
ネットワーク間接続
最初は ネットワーク間アクセス リモートサイト自体がより広い組織の一部のように振る舞う必要があるとき、これが正しいメンタルモデルです。ローカルインフラストラクチャ、サイトシステム、共有リソース、中央サービスはすべて一貫して協力しなければなりません。
ユーザーからネットワークへのアクセス
第二のものは含まれています ユーザーからネットワークへの接続 ここでは、サイトに広範な拡張は必要ありませんが、特定の人々には必要です。スタッフは、リモートオフィスからのいくつかの内部リソース、支店のワークフローに接続された自宅の作業スペース、または場所を移動している間に必要とする場合があります。
管理者/サーバーアクセス
第三のアクセス 管理/サーバー施設 これはIT運用のためのものです。主な要件は、広範なエンドユーザーへのリーチではなく、制御されたメンテナンス、サポート、トラブルシューティング、およびサーバー管理です。
アプリ専用または最小特権アクセス
第四は アプリ専用または最小特権アクセス このモデルは、ユーザー、契約者、またはベンダーが特定のアプリケーションや狭く定義されたリソースのみを必要とする場合に最適です。これは、私たちのゼロトラストの好みに密接に一致します。全体として、私たちは、単に存在するからという理由でパスを信頼するのではなく、ユーザー、デバイス、セッションを検証することの重要性を強調します。
ユースケース 1: リモートサイトはいつ本当にネットワーク間の安全な接続が必要ですか?
このモデルが適合する場所と、どこで広すぎるか
一部のサイトは本当に広範な接続性を必要とします。倉庫は中央のERPに依存しながら、ローカルのプリンター、スキャナー、運用デバイスも使用する場合があります。小売店は中央サービスに結びついたいくつかのバックオフィスシステムを必要とするかもしれません。工業または農業のサイトは、コアシステムと同期を保つ必要があるローカル資産に依存する場合があります。
その場合、広範なサイト接続は、サイト自体が運用環境の一部であるため正当化されることがあります。重要なのは、これが最も重いアクセスモデルであることを認識することです。これにより、最も広範な信頼関係が構築されるため、より狭い設計がワークフローを壊す場合にのみ使用すべきです。
拡張サイト接続のためのセキュリティ優先事項
これはセキュリティの規律が最も重要な場所でもあります。一度サイトが広く接続されると、セグメンテーション、ログ記録、ファイアウォールポリシー、アクセス制限が不可欠になります。ここでTSplus Advanced Securityが関連するのは、接続を作成するためではなく、ファイアウォール、ハッカーIP保護、地理的保護、ブルートフォース保護、安全なセッションと権限などの機能を使用して、露出したアクセスパスと敏感なWindowsベースのインフラストラクチャを保護するのに役立つからです。
良いルールはシンプルです:リモートサイトのユーザーが本当に必要なアプリケーションが1つまたは2つだけの場合、サイト全体の信頼をデフォルトにしないでください。それは通常、必要に対して過剰な設計です。
ユースケース2: ユーザーからネットワークへの安全なアクセスが本当に必要なときはいつですか?
典型的な支店およびハイブリッドワークシナリオ
時には支店やサブロケーションが広範な拡張を全く必要としないことがあります。その代わりに、少数の従業員が複数の内部リソースにアクセスする必要があります。それは異なる問題です。それはユーザーレベルのリモートアクセスであり、サイトレベルのリモートアクセスではありません。
このモデルはハイブリッド運用で一般的です。地域マネージャー、財務リーダー、または小規模な管理チームは、サテライトオフィスからいくつかの内部ツールを必要とする場合があります。ここでの適切な設計は、全体のサイトを信頼できる拡張として扱うのではなく、個々のアイデンティティ、デバイス、セッション、ポリシーによって形作られます。
ユーザー固有の適合がサイト全体の拡張よりも優れている場合
その区別は重要です。なぜなら、ユーザーからネットワークへのアクセスが依然として広すぎる可能性があるからです。ユーザーが本当に1つのアプリだけを必要とする場合、広範な内部アクセスを許可することは、価値を追加することなくリスクを増加させます。私たちは、特に中小企業や分散環境において、露出を減らし、可能な限り最小特権を適用することを強く支持しています。
ユーザーレベルのリモートアクセスにおけるセキュリティの優先事項
TSplus Advanced Securityは、誰が接続できるか、どこから接続できるか、どのような条件下で接続できるかに関する制御を追加することで、このモデルをサポートします。地理的保護は、プライベートおよびホワイトリストに登録されたIPアドレスや選択された地域へのアクセスを制限できます。ブルートフォース保護は、繰り返し失敗したログインの後に問題のあるIPを自動的にブラックリストに登録できます。これにより、広範な「リモートユーザー」問題を、より制御されたポリシー主導のアクセスパスに変換するのに役立ちます。
ユースケース 3: セキュアな管理者またはサーバーアクセスが実際に必要なときはいつですか?
典型的なITおよびMSPシナリオ
いわゆるリモートサイト接続プロジェクトの大部分は、実際にはIT管理プロジェクトです。MSPはクライアントサーバーを維持する必要があります。内部管理者はリモートホストをパッチ適用する必要があります。ヘルプデスク技術者はWindowsセッション環境のトラブルシューティングを行う必要があります。これらの作業には、一般ユーザーや全サイトに同じレベルのアクセスを与える必要はありません。
管理者アクセスは通常のユーザーアクセスから分離されるべき理由
管理者アクセスは、その性質上特権的であるため、独自のカテゴリとして扱うべきです。最も安全な設計は、通常、管理者のトラフィックを一般ユーザーのワークフローから分離し、管理者が接続できる場所を制限し、標準ユーザーのチャネルよりもはるかに積極的にエントリーパスを強化するものです。
最適な保護のために巧妙に設計されたセキュリティ機能
これは、私たちのAdvanced Securityソフトウェアとその機能に対する最も強力な呼びかけの一つです。この製品のBruteforce Protectionは、Windowsの失敗したログイン試行を監視し、攻撃するIPをブラックリストに登録するように明示的に設計されています。そのファイアウォール、権限、セキュアセッションおよびレポートは、ターゲットが公開アクセス可能なWindowsサーバーまたはリモート管理パスである場合に直接役立ちます。
特権リモートアクセスのセキュリティ優先事項
これは、すべての製品機能が同じように適用されるわけではない場所でもあります。たとえば、Trusted DevicesはTSplus Remote Access Web Portalからの接続で機能します。実際、私たちのドキュメントには、Web PortalがHTML5セッションやホスト名を隠すiOSおよびAndroidデバイスと互換性がないことが記載されています。これは、管理者のワークフローのためのデバイストラストの強制を計画する際に重要です。
RDPのトラブルシューティングや支店およびサブサイトの管理者エントリーポイントのセキュリティを強化していますか?ご存知でしたか?私たちにお問い合わせいただければ、一緒にTSplus Advanced Securityのガイド付きデモをスケジュールします。
ユースケース4:アプリ専用または最小特権アクセスがより良い回答となるのはいつですか?
典型的な支店、ベンダーおよびタスクベースのシナリオ
これはしばしば最もクリーンなモデルであり、多くの環境が見落としがちなものです。支店の従業員がERP画面、スケジューリングシステム、会計ツール、または他の公開されたWindowsアプリケーションのみを必要とする場合、広範なリモートアクセスはしばしば不要です。正しい答えは「より多くのネットワーク」ではなく、「より良く提供される少ないアクセス」です。
スコープ付きアクセスがリスクを軽減する理由
これは、私たちのスイートの別の製品が非常に関連性を持つ場所です。TSplus Remote Accessは、安全なWebポータルとアプリケーションの公開をサポートしており、ユーザーが広範な環境を開かずに制御されたアプリケーションまたはデスクトップ体験にアクセスできるようにします。配信ツール自体に関係なく、アプリ専用アクセスはこのシナリオに最適な設計選択です。
公開および制限されたアクセスのためのセキュリティ優先事項
TSplus Advanced Securityは中心的な役割を果たし続けます。なぜなら、より狭いアクセスモデルでも保護が必要だからです。公開向けのアプリケーションサーバーやウェブアクセスパスは依然として攻撃対象となります。ブルートフォース保護や地理的IPフィルタリングに関する詳細は、当社のセキュアウェブゲートウェイの記事をお読みください。これらは、特に公開されたRDPおよびウェブポータルサービスにとって重要であり、まさに支店指向のアプリケーション配信が必要とするハードニングの種類です。
最小特権アクセスは、ベンダー、請負業者、そして一時的なパートナーにとっても適切なモデルです。第三者が内部ツール、メンテナンスインターフェース、または時間制限のあるワークフローのいずれかを必要とする場合、それ以上のアクセスを与えることは便利ではありません。それは過剰な露出です。
各リモートサイトに最も安全なモデルをどのように選択できますか?
実用的な意思決定フレームワークは、4つの質問から始まります。
まず、何を達成しなければならないのか?
「回答が「共有サイトインフラストラクチャと複数の内部システム」であれば、ネットワーク間接続が正当化される可能性があります。回答が「選択されたユーザーのためのいくつかの内部リソース」であれば、ユーザーからネットワークへのアクセスがより近いです。回答が「サーバー管理とメンテナンス」であれば、それは管理者アクセスの問題です。回答が「1つのアプリまたは1つのタスク」であれば、アプリ専用または最小特権アクセスが設計の主導となるべきです。」
次に、誰がアクセスを必要としていますか?
全ての支店、少人数のユーザーグループ、ITチーム、外部ベンダーは同じ信頼モデルを継承すべきではありません。
第三に、どの程度の露出が許容されますか?
リーチが広いほど、補償コントロールは強力でなければなりません。TSplusのセキュリティポジショニングは、一貫して露出の削減、強化されたアイデンティティ、ポリシーの強制、および広範なデフォルトの信頼よりも監視を優先します。
第四に、その環境は実際にどの程度のサポート負担を維持できるのか?
小規模なITチームやMSPは、安全でありながら管理しやすい設計を必要としています。それが、TSplusが不必要な複雑さを排除した実用的な保護を中心にAdvanced Securityを位置付けている理由の一つです。
TSplus Advanced Securityはどこに最適ですか?
露出したアクセス経路の保護
TSplus Advanced Securityは、選択したリモートサイトモデルを保護するための機能を備えており、重要な役割を果たします。
ハッカーIP保護、
地理的保護、
ブルートフォース保護、
作業時間を制限する
ファイアウォール、
アラート、
レポート、
ランサムウェア保護、
権限、
セキュアセッション
および信頼できるデバイス。
地理、IP、およびセッションコントロールによるポリシーの強制
この360ツールは、公開されたリモートアクセスパスを持つ分散型のWindowsベースの環境を保護するために構築されています。クイックスタートドキュメントは、ランサムウェア保護、ブルートフォース保護、地理的保護を初期設定の中心に置いており、これは製品の実用的なハードニングの焦点を反映しています。支店や二次サイトにとって、その組み合わせは有用です。なぜなら、主なリスクはしばしば繰り返されるログイン攻撃、過度に広範なソースアクセス、セッションの悪用、そして到達可能なシステムを通じて広がるランサムウェアのビジネスへの影響だからです。
ランサムウェアや不正使用に対する分散環境の強化
ランサムウェア保護は、分散環境において特に重要です。静的および行動分析を使用してランサムウェアを検出、ブロック、予防し、セッション内でランサムウェアを検出するとすぐに反応できます。これは、侵害されたエンドポイント、リモートユーザー、または支店のワークフローが中央システムへのピボットポイントになるときに価値があります。
実際のリモートサイトの例
A 小売店 アプリ専用モデルに適していることが多いです。スタッフは通常、広範なネットワークアクセスではなく、限られた業務用ツールのセットを必要とします。より安全な設計は、公開アクセスに加えて強化されたエントリーポイントがあることが多いです。
A 倉庫または工業用地 ローカルデバイスと中央システムが継続的に調整を必要とするため、広範な接続を正当化する可能性が高くなります。それでも、管理者アクセスは別々に厳密に制御されるべきです。
A 衛星医療オフィス 通常はより強力なスコーピングが必要です。異なる役割には異なるシステムが必要であり、広範なアクセスはセキュリティとコンプライアンスの問題を引き起こす可能性があります。ユーザーレベルまたはアプリレベルのアクセスは、包括的な接続よりも良い出発点であることが多いです。
アン MSP管理の顧客サイト 通常は管理者/サーバーアクセスの問題です。プロバイダーは、安全で監査可能なサポートパスが必要であり、顧客環境全体への無制限の広範な信頼は必要ありません。
結論として:アクセス範囲から始め、それを適切に保護します。
リモートサイトの接続は、一つの答えで解決できる問題ではありません。いくつかのサイトは広範な接続を必要とします。いくつかは特定のユーザーへのアクセスを必要とします。いくつかは特権管理者のパスを必要とします。いくつかは公開されたアプリケーションや厳密に範囲を絞ったワークフローのみを必要とします。
そのため、最も優れたセキュアな設計の質問は「どのセキュアなリモートアクセスプロトコルが最も強力に聞こえるか?」ではなく、「このリモートサイトが運営できる最小の実用的なアクセスモデルは何か?」です。それに答えれば、セキュリティはより明確になり、維持しやすくなります。
TSplus Advanced Securityはこの戦略に適しています。すべてのリモートサイトを同等に信頼するよう求めることはありません。あなたの利用に最も重要な分散環境に対して、関連性があり、適切で、焦点を絞った保護策で選択したパスを強化するのに役立ちます。
よくある質問
1. リモートサイトのリモート接続を保護する最良の方法は何ですか?
最良の方法は、アクセスモデルを実際のニーズに合わせることです。一部のリモートサイトは広範な接続性を必要としますが、多くはユーザーレベル、管理者レベル、またはアプリ専用のアクセスのみを必要とします。アクセス範囲が制限されてから制御が追加されると、セキュリティが向上します。
2. すべての支店はフルネットワーク間接続が必要ですか?
いいえ。多くの支店は、いくつかの内部アプリケーションや制御された管理パスだけを必要とします。全体のサイトに広範な信頼を拡張することは、リスクと複雑さを増加させ、ユーザーの結果を改善することはありません。
3. ユーザーからネットワークへのアクセスがサイト全体の接続よりも優れているのはいつですか?
選択されたユーザーがいくつかの内部リソースを必要とする場合に、サイト自体が完全なネットワーク拡張として機能する必要がない方が良いです。これにより、信頼がアイデンティティとポリシーにより密接に結びつきます。
アプリ専用アクセスがより良い選択となるのはいつですか?
アプリ専用アクセスは、ユーザーが広範なネットワークアクセスよりも1つまたは数個のビジネスアプリケーションを必要とする場合に最適です。これにより、過剰露出が減少し、最小特権設計により適合します。
5. TSplus Advanced Securityは、リモートサイトアクセスをどのように保護しますか?
TSplus Advanced Securityは、リモートアクセス経路と分散型Windows環境を強化するために、地理的保護、ブルートフォース保護、ファイアウォール、権限、セキュアセッション、信頼できるデバイス、ランサムウェア保護などのコントロールを追加します。
)
)
)
