)
)
Konektiviti tapak jauh yang selamat bermula dengan keperluan akses sebenar bagi setiap cawangan, gudang, klinik, kedai runcit, ladang, tapak industri atau lokasi pelanggan yang diurus. Di sini kami memfokuskan kepada empat keperluan praktikal: konektiviti rangkaian-ke-rangkaian, akses pengguna-ke-rangkaian, akses pentadbir/pelayan, dan akses hanya aplikasi atau akses dengan keistimewaan paling rendah.
Penyusunan semula ini mengubah skop protokol akses jauh yang selamat untuk situasi cawangan menjadi sumber penyelesaian praktikal yang boleh anda gunakan semula. Kami juga menerapkannya pada beberapa kes tertentu. Kami akan mengakhiri dengan menunjukkan peranan yang dimainkan oleh TSplus Advanced Security dalam melindungi persekitaran akses jauh yang teragih.
Mengapa keputusan untuk sambungan tapak jauh yang selamat sering salah?
Bermula dengan teknologi dan bukannya skop akses
Banyak projek akses jauh bermula dengan alat yang biasa digunakan dan bukannya kes penggunaan yang ditentukan. Pejabat kedua dibuka, gudang baru dilancarkan, atau MSP menyambut tapak pelanggan, dan reaksi pertama sering kali adalah untuk memperluas sambungan yang luas. Pendekatan itu boleh berfungsi, tetapi ia juga boleh memberikan tapak jauh lebih banyak capaian daripada yang sebenarnya diperlukan.
Mengapa satu “tapak jauh” tidak sama dengan satu “model akses”?
Itu adalah kesilapan reka bentuk. Semua laman jauh bukan satu kategori teknikal tunggal. Satu laman memerlukan infrastruktur bersama dan sambungan perniagaan yang berterusan. Laman lain hanya memerlukan beberapa pengguna untuk mengakses sumber dalaman. Laman lain terutamanya memerlukan pentadbiran IT. Laman lain memerlukan satu aplikasi yang diterbitkan dan tiada yang lain. Menganggap keempat-empat kes ini sama mencipta kepercayaan yang tidak perlu, lebih pendedahan dan lebih beban keselamatan.
Panduan NIST mengenai akses jauh menyatakan perkara yang sama dalam istilah yang lebih formal: akses jauh harus direka untuk mengekalkan keselamatan sambil mengehadkan pendedahan yang tidak perlu. Dalam erti kata lain, soalan pertama yang tepat bukanlah "Kaedah sambungan manakah yang sudah kita ketahui?" tetapi "Apa sebenarnya yang perlu dicapai oleh laman ini, pengguna atau pentadbir?"
Model sambungan jauh yang selamat yang mana 4 yang paling penting?
Untuk kebanyakan persekitaran pejabat cawangan dan tapak sekunder, sambungan jauh terbahagi kepada empat model praktikal.
Konektiviti rangkaian ke rangkaian
Yang pertama ialah akses rangkaian-ke-rangkaian Ini adalah model mental yang betul apabila laman jauh itu sendiri perlu berfungsi seperti sebahagian daripada organisasi yang lebih luas. Infrastruktur tempatan, sistem laman, sumber yang dikongsi dan perkhidmatan pusat mesti semua berfungsi bersama secara konsisten.
Akses pengguna ke rangkaian
Yang kedua merangkumi sambungan pengguna-ke-rangkaian Di sini, laman web ini tidak memerlukan sambungan yang luas, tetapi sesetengah orang memerlukannya. Kakitangan mungkin memerlukan beberapa sumber dalaman dari pejabat jauh, ruang kerja di rumah yang disambungkan kepada aliran kerja cawangan, atau semasa bergerak antara lokasi.
Akses admin/server
Akses ketiga kemudahan pentadbir/server Ini adalah untuk operasi IT. Keperluan utama adalah penyelenggaraan terkawal, sokongan, penyelesaian masalah dan pentadbiran pelayan, bukan jangkauan pengguna akhir yang luas.
Akses hanya aplikasi atau akses dengan hak minimum
Keempat adalah akses hanya aplikasi atau akses dengan hak minimum Model ini paling sesuai apabila pengguna, kontraktor atau vendor hanya memerlukan aplikasi tertentu atau sumber yang ditakrifkan secara sempit. Ia selaras dengan keutamaan kami untuk Zero Trust. Secara keseluruhan, kami menekankan kepentingan untuk mengesahkan pengguna, peranti dan sesi daripada mempercayai laluan hanya kerana ia wujud.
Use case 1: Bilakah sebuah laman jauh benar-benar memerlukan sambungan rangkaian-ke-rangkaian yang selamat?
Di mana model ini sesuai & di mana ia menjadi terlalu luas
Beberapa laman web benar-benar memerlukan sambungan yang luas. Sebuah gudang mungkin bergantung pada ERP pusat sambil juga menggunakan pencetak, pengimbas, dan peranti operasi tempatan. Sebuah cawangan runcit mungkin memerlukan beberapa sistem pejabat belakang yang dihubungkan dengan perkhidmatan pusat. Sebuah tapak industri atau pertanian mungkin bergantung pada aset tempatan yang mesti tetap diselaraskan dengan sistem teras.
Dalam kes-kes tersebut, sambungan laman yang luas dapat dibenarkan kerana laman itu sendiri adalah sebahagian daripada persekitaran operasi. Kuncinya adalah untuk mengenali bahawa ini adalah model akses yang paling berat. Ia mewujudkan hubungan kepercayaan yang paling luas, jadi ia harus disimpan untuk kes-kes di mana reka bentuk yang lebih sempit akan merosakkan aliran kerja.
Keutamaan keselamatan untuk sambungan laman yang diperluas
Ini juga di mana disiplin keselamatan sangat penting. Setelah sebuah laman web disambungkan secara luas, segmentasi, pencatatan, dasar firewall, dan sekatan akses menjadi penting. TSplus Advanced Security relevan di sini bukan kerana ia mencipta sambungan, tetapi kerana ia membantu melindungi laluan akses yang terdedah dan infrastruktur berasaskan Windows yang sensitif dengan ciri-ciri seperti Firewall, Perlindungan IP Penggodam, Perlindungan Geografi, Perlindungan Bruteforce, Sesi Selamat dan Kebenaran.
Peraturan yang baik adalah mudah: jika pengguna di lokasi jauh hanya memerlukan satu atau dua aplikasi, jangan secara automatik memberikan kepercayaan penuh kepada seluruh laman. Itu biasanya terlalu banyak reka bentuk untuk keperluan yang terlalu sedikit.
Kes penggunaan 2: Bilakah akses pengguna-ke-rangkaian yang selamat adalah keperluan sebenar?
Senario kerja cabang dan hibrid yang biasa
Kadang-kadang cawangan atau lokasi sekunder tidak memerlukan sambungan yang luas sama sekali. Sebaliknya, segelintir pekerja memerlukan akses kepada pelbagai sumber dalaman. Itu adalah masalah yang berbeza. Ia adalah akses jauh peringkat pengguna, bukan akses jauh peringkat lokasi.
Model ini biasa digunakan dalam operasi hibrid. Seorang pengurus wilayah, ketua kewangan atau pasukan pentadbiran kecil mungkin memerlukan beberapa alat dalaman dari pejabat satelit. Reka bentuk yang tepat di sini dibentuk oleh identiti individu, peranti, sesi dan dasar, bukan dengan menganggap keseluruhan laman sebagai sambungan yang dipercayai.
Di mana kesesuaian khusus pengguna lebih baik daripada sambungan seluruh laman.
Perbezaan itu penting kerana akses pengguna ke rangkaian masih boleh menjadi terlalu luas. Jika seorang pengguna hanya memerlukan satu aplikasi, memberikan akses dalaman yang luas menambah risiko tanpa menambah nilai. Kami adalah penyokong tegar untuk mengurangkan pendedahan dan menerapkan hak minimum di mana mungkin, terutamanya untuk perniagaan kecil dan persekitaran teragih.
Keutamaan keselamatan untuk akses jauh peringkat pengguna
TSplus Advanced Security menyokong model ini dengan menambah kawalan mengenai siapa yang boleh menyambung, dari mana dan dalam keadaan apa. Perlindungan Geografi boleh mengehadkan akses kepada alamat IP persendirian dan yang telah disenaraikan atau kawasan yang dipilih. Perlindungan Bruteforce boleh secara automatik menyenaraihitamkan IP yang melanggar selepas log masuk yang gagal berulang kali. Itu membantu menukar masalah "pengguna jarak jauh" yang luas kepada laluan akses yang lebih terkawal dan berasaskan polisi.
Penggunaan kes 3: Bilakah akses admin atau pelayan yang selamat adalah keperluan sebenar?
Senario IT dan MSP yang biasa
Sebahagian besar projek yang dipanggil sambungan tapak jauh sebenarnya adalah projek pentadbiran IT. Seorang MSP perlu mengekalkan pelayan klien. Seorang pentadbir dalaman perlu menampal hos jauh. Seorang juruteknik helpdesk perlu menyelesaikan masalah persekitaran sesi Windows. Tiada satu pun daripada itu memerlukan memberikan pengguna biasa atau seluruh tapak tahap akses yang sama.
Mengapa akses admin harus tetap terpisah dari akses pengguna biasa
Akses admin harus dianggap sebagai kategori tersendiri kerana ia mempunyai keistimewaan secara semula jadi. Reka bentuk yang paling selamat biasanya adalah yang memisahkan trafik admin daripada aliran kerja pengguna biasa, mengehadkan dari mana admin boleh menyambung, dan mengukuhkan laluan masuk dengan lebih agresif daripada saluran pengguna standard.
Ciri keselamatan yang direka dengan mahir untuk perlindungan optimum
Ini adalah salah satu panggilan terkuat untuk perisian Advanced Security kami dan ciri-cirinya. Perlindungan Bruteforce produk ini direka khusus untuk memantau percubaan log masuk Windows yang gagal dan menyenarai hitam IP yang menyerang. Firewall, Kebenaran, Sesi Selamat dan laporan adalah berguna secara langsung apabila sasaran adalah pelayan Windows yang boleh diakses secara awam atau laluan pentadbiran jauh.
Keutamaan keselamatan untuk akses jauh yang istimewa
Ini juga di mana tidak semua ciri produk kami berfungsi dengan cara yang sama. Sebagai contoh, Peranti Dipercayai berfungsi dengan sambungan dari TSplus Remote Access Web Portal. Anda sebenarnya akan mendapati nota dokumentasi kami menyatakan bahawa Web Portal tidak serasi dengan sesi HTML5 atau peranti iOS dan Android yang menyembunyikan nama hos. Itu penting ketika merancang penguatkuasaan kepercayaan peranti untuk aliran kerja pentadbir.
Adakah anda menyelesaikan masalah RDP atau mengamankan titik masuk admin di seluruh cawangan dan laman sekunder? Adakah anda tahu? Tanyakan kepada kami dan bersama-sama kita akan menjadualkan demo panduan bagi TSplus Advanced Security.
Penggunaan kes 4: Bilakah akses hanya aplikasi atau akses dengan keistimewaan paling rendah adalah jawapan yang lebih baik?
Senario cawangan, vendor dan berasaskan tugas yang biasa
Ini sering kali merupakan model yang paling bersih dan yang sering diabaikan oleh banyak persekitaran. Jika seorang pekerja cawangan hanya memerlukan skrin ERP, sistem penjadualan, alat perakaunan, atau aplikasi Windows lain yang diterbitkan, akses jauh yang luas sering kali tidak diperlukan. Jawapan yang betul bukanlah "lebih banyak rangkaian." Ia adalah "kurang akses, disampaikan dengan lebih baik."
Mengapa akses terhad mengurangkan risiko
Ini adalah di mana produk lain dalam suite kami menjadi sangat relevan. TSplus Remote Access menyokong Portal Web yang selamat dan penerbitan aplikasi, yang membolehkan pengguna mengakses aplikasi atau pengalaman desktop yang terkawal tanpa membuka persekitaran yang lebih luas. Tanpa mengira alat penghantaran itu sendiri, akses hanya aplikasi adalah pilihan reka bentuk yang tepat untuk senario ini.
Keutamaan keselamatan untuk akses yang diterbitkan dan terhad
TSplus Advanced Security kekal menjadi pusat kerana walaupun model akses yang lebih sempit masih memerlukan perlindungan. Pelayan aplikasi yang terdedah kepada awam dan laluan akses web masih merupakan permukaan serangan. Baca artikel gerbang web selamat kami untuk maklumat lanjut mengenai perlindungan terhadap serangan brute-force dan penapisan IP geografi. Mereka sangat penting untuk perkhidmatan RDP dan portal web yang terdedah dan merupakan jenis pengukuhan yang diperlukan oleh penghantaran aplikasi yang berorientasikan cabang.
Akses hak minimum juga merupakan model yang tepat untuk vendor, kontraktor, dan rakan sementara. Jika pihak ketiga memerlukan satu alat dalaman, satu antara muka penyelenggaraan, atau satu aliran kerja terhad masa, memberikan mereka akses yang lebih luas daripada itu bukanlah kemudahan. Ia adalah pendedahan berlebihan.
Bagaimana anda boleh memilih model yang paling selamat untuk setiap lokasi jauh?
Kerangka keputusan praktikal bermula dengan empat soalan.
Pertama, apa yang perlu dicapai?
Jika jawapannya adalah “infrastruktur laman bersama dan beberapa sistem dalaman,” sambungan rangkaian ke rangkaian mungkin dibenarkan. Jika jawapannya adalah “beberapa sumber dalaman untuk pengguna terpilih,” akses pengguna ke rangkaian adalah lebih dekat. Jika jawapannya adalah “pengurusan dan penyelenggaraan pelayan,” ia adalah masalah akses pentadbir. Jika jawapannya adalah “satu aplikasi atau satu tugas,” akses hanya aplikasi atau akses dengan keistimewaan minimum harus memimpin reka bentuk.
Kedua, siapa yang memerlukan akses?
Sebuah pejabat cawangan keseluruhan, sekumpulan pengguna kecil, sebuah pasukan IT, dan seorang vendor luar tidak seharusnya mewarisi model kepercayaan yang sama.
Ketiga, berapa banyak pendedahan yang boleh diterima?
Semakin luas jangkauannya, semakin kuat kawalan pampasan yang mesti ada. Penempatan keselamatan TSplus sendiri secara konsisten memihak kepada pendedahan yang dikurangkan, identiti yang lebih kuat, penguatkuasaan dasar, dan pemantauan berbanding kepercayaan lalai yang luas.
Keempat, beban sokongan apa yang sebenarnya dapat ditanggung oleh persekitaran?
Pasukan IT kecil dan MSP memerlukan reka bentuk yang selamat tetapi boleh diurus. Itulah salah satu sebab TSplus meletakkan Advanced Security di sekitar perlindungan praktikal tanpa kerumitan yang tidak perlu.
Di manakah TSplus Advanced Security paling sesuai?
Melindungi laluan akses yang terdedah
TSplus Advanced Security adalah inti untuk membantu mengamankan model situs jarak jauh mana pun yang Anda pilih dengan fitur-fiturnya:
Perlindungan IP Penggodam,
Perlindungan Geografi,
Bruteforce Protection,
Hadkan Waktu Bekerja,
Firewall,
Amaran,
Laporan,
Perlindungan Ransomware,
Kebenaran,
Sesi Selamat
dan Peranti Dipercayai.
Menguatkuasakan dasar dengan geo, IP, dan kawalan sesi
Alat 360 ini dibina untuk melindungi persekitaran berasaskan Windows yang terdistribusi dengan laluan akses jauh yang terdedah. Dokumentasi permulaan cepatnya meletakkan Perlindungan Ransomware, Perlindungan Bruteforce dan Perlindungan Geografi di tengah-tengah persediaan awal, yang mencerminkan fokus pengukuhan praktikal produk. Untuk cawangan dan laman sekunder, kombinasi itu berguna kerana risiko utama sering kali adalah serangan log masuk berulang, akses sumber yang terlalu luas, penyalahgunaan sesi dan impak perniagaan ransomware yang merebak melalui sistem yang boleh diakses.
Memperkuat persekitaran teragih terhadap ransomware dan penyalahgunaan
Perlindungan Ransomware adalah sangat relevan dalam persekitaran teragih. Ia mengesan, menyekat dan mencegah ransomware, menggunakan analisis statik dan tingkah laku, dan boleh bertindak sebaik sahaja ia mengesan ransomware dalam sesi. Itu adalah berharga apabila titik akhir yang terjejas, pengguna jarak jauh atau aliran kerja cawangan menjadi titik pivot ke dalam sistem pusat.
Contoh laman jauh dunia sebenar
[A] TSplus vs RDS cawangan runcit selalunya sesuai dengan model aplikasi sahaja. Kakitangan biasanya memerlukan set terhad alat perniagaan, bukan capaian rangkaian yang luas. Reka bentuk yang lebih selamat sering kali adalah akses diterbitkan ditambah dengan titik masuk yang diperkukuh.
[A] TSplus vs RDS gudang atau tapak industri lebih cenderung untuk membenarkan sambungan yang luas kerana peranti tempatan dan sistem pusat memerlukan penyelarasan berterusan. Walaupun begitu, akses pentadbir harus kekal berasingan dan dikawal dengan ketat.
[A] TSplus vs RDS pejabat penjagaan kesihatan satelit biasanya memerlukan penetapan yang lebih ketat. Peranan yang berbeza memerlukan sistem yang berbeza, dan akses yang luas boleh mencipta masalah keselamatan dan pematuhan. Akses peringkat pengguna atau peringkat aplikasi sering kali merupakan titik permulaan yang lebih baik daripada sambungan secara menyeluruh.
An Laman pelanggan yang diurus oleh MSP biasanya merupakan masalah akses admin/server terlebih dahulu. Penyedia memerlukan jalur sokongan yang selamat dan boleh diaudit, bukan kepercayaan yang terbuka dan luas ke dalam keseluruhan persekitaran pelanggan.
Untuk Menyimpulkan: Mulakan dengan skop akses, kemudian amankannya dengan betul
Ketersambungan laman jauh bukanlah satu masalah dengan satu jawapan. Sesetengah laman memerlukan ketersambungan yang luas. Sesetengah memerlukan akses untuk pengguna terpilih. Sesetengah memerlukan laluan admin yang istimewa. Sesetengah hanya memerlukan satu aplikasi yang diterbitkan atau aliran kerja yang terhad.
Itulah sebabnya soalan reka bentuk selamat yang terbaik bukanlah "Protokol akses jauh selamat manakah yang paling kuat?" tetapi "Apakah model akses praktikal terkecil yang masih membolehkan lokasi jauh ini beroperasi?" Setelah itu dijawab, keselamatan menjadi lebih jelas dan lebih mudah untuk dipertahankan.
TSplus Advanced Security sesuai dengan strategi ini. Ia tidak meminta anda untuk mempercayai setiap laman jauh secara sama rata. Ia membantu anda mengukuhkan laluan yang dipilih dengan langkah-langkah perlindungan yang relevan, sesuai dan terfokus untuk persekitaran teragih yang paling penting untuk penggunaan anda.
Soalan Lazim
1. Apakah cara terbaik untuk mengamankan sambungan jauh untuk lokasi jauh?
Cara terbaik adalah untuk mencocokkan model akses dengan keperluan sebenar. Beberapa lokasi jauh memerlukan sambungan yang luas, tetapi banyak yang hanya memerlukan akses tahap pengguna, tahap pentadbir atau akses hanya aplikasi. Keselamatan meningkat apabila skop akses dikurangkan sebelum kawalan ditambah.
2. Adakah setiap pejabat cawangan memerlukan sambungan rangkaian-ke-rangkaian sepenuhnya?
Tidak. Banyak cawangan hanya memerlukan beberapa aplikasi dalaman atau laluan admin yang terkawal. Meluaskan kepercayaan yang luas kepada seluruh laman akan meningkatkan risiko dan kompleksiti tanpa memperbaiki hasil pengguna.
3. Bila akses pengguna-ke-rangkaian lebih baik daripada sambungan penuh di seluruh laman?
Adalah lebih baik apabila pengguna terpilih memerlukan beberapa sumber dalaman tetapi laman web itu sendiri tidak perlu berfungsi sebagai sambungan rangkaian penuh. Ini mengekalkan kepercayaan yang lebih rapat dengan identiti dan dasar.
4. Bila akses hanya aplikasi adalah pilihan yang lebih baik?
Akses hanya aplikasi sering kali terbaik apabila pengguna memerlukan satu atau beberapa aplikasi perniagaan daripada capaian rangkaian yang luas. Ia mengurangkan pendedahan berlebihan dan lebih selaras dengan reka bentuk hak minimum.
5. Bagaimana TSplus Advanced Security membantu melindungi akses laman jauh?
TSplus Advanced Security menambah kawalan seperti Perlindungan Geografi, Perlindungan Bruteforce, Firewall, Kebenaran, Sesi Selamat, Peranti Dipercayai dan Perlindungan Ransomware untuk membantu mengukuhkan laluan akses jauh dan persekitaran Windows yang diedarkan.
)
)
)
