)
)
Conectivitatea sigură a site-urilor remote începe cu cerința reală de acces a fiecărei sucursale, depozit, clinică, punct de vânzare, fermă, site industrial sau locație de client gestionată. Aici ne concentrăm pe patru nevoi practice: conectivitate între rețele, acces utilizator-rețea, acces admin/server și acces doar la aplicații sau acces cu privilegii minime.
Această reformulare schimbă domeniul protocolului de acces de la distanță securizat pentru situațiile de sucursală într-o sursă de soluții practice pe care le poți reutiliza. Chiar aplicăm acest lucru la câteva cazuri specifice. Vom încheia arătând rolurile pe care le joacă TSplus Advanced Security în protejarea mediilor de acces de la distanță distribuite.
De ce deciziile privind conectivitatea sigură a site-urilor la distanță merg adesea prost?
Începând cu tehnologia în loc de domeniul de acces
Multe proiecte de acces de la distanță încep cu un instrument familiar în loc de un caz de utilizare definit. Se deschide un birou secundar, un nou depozit devine activ sau un MSP integrează un site al clientului, iar prima reacție este adesea să se extindă conectivitatea generală. Această abordare poate funcționa, dar poate oferi de asemenea unui site de la distanță mult mai multă acoperire decât ar avea nevoie în realitate.
De ce un „site la distanță” nu este egal cu un „model de acces”?
Aceasta este o greșeală de design. Toate site-urile de la distanță nu sunt o singură categorie tehnică. Un site are nevoie de o infrastructură partajată și de conectivitate persistentă la linia de afaceri. Altul are nevoie doar de câțiva utilizatori pentru a accesa resurse interne. Altul are nevoie în principal de administrarea IT. Altul are nevoie de o aplicație publicată și nimic altceva. Tratarea tuturor celor patru cazuri la fel creează o încredere inutilă, mai multă expunere și mai multă suprasarcină de securitate.
Ghidul NIST privind accesul la distanță face același punct într-un mod mai formal: accesul la distanță ar trebui să fie conceput pentru a păstra securitatea, limitând în același timp expunerea inutilă. Cu alte cuvinte, prima întrebare corectă nu este „Ce metodă de conectare știm deja?” ci „Ce anume trebuie să acceseze acest site, utilizator sau administrator?”
Care sunt cele 4 modele de conectivitate la distanță securizate care contează cel mai mult?
Pentru majoritatea mediilor de birou filial și site-uri secundare, conectivitatea la distanță se încadrează în patru modele practice.
Conectivitate între rețele
Primul este acces de la rețea la rețea Acesta este modelul mental corect atunci când site-ul remote trebuie să se comporte ca parte a organizației mai mari. Infrastructura locală, sistemele site-ului, resursele partajate și serviciile centrale trebuie să colaboreze constant.
Acces utilizator-rețea
Al doilea cuprinde conexiuni utilizator-la-rețea Aici, site-ul nu are nevoie de o extensie largă, dar anumite persoane au nevoie. Personalul poate necesita mai multe resurse interne dintr-un birou la distanță, un spațiu de lucru de acasă atașat unui flux de lucru al sucursalei sau în timp ce se deplasează între locații.
Acces admin/server
Accesurile terțe facilități admin/server Aceasta este pentru operațiunile IT. Cerința principală este întreținerea controlată, suportul, depanarea și administrarea serverului, nu o acoperire largă pentru utilizatorii finali.
Acces doar la aplicație sau acces cu cele mai puține privilegii
Al patrulea este acces doar la aplicație sau acces cu cele mai puține privilegii Acest model se potrivește cel mai bine atunci când utilizatorii, contractorii sau furnizorii au nevoie doar de o aplicație specifică sau de o resursă definită îngust. Se aliniază strâns cu preferința noastră pentru Zero Trust. În general, subliniem importanța verificării utilizatorului, dispozitivului și sesiunii în loc să ne bazăm pe un traseu doar pentru că există.
Caz de utilizare 1: Când are cu adevărat nevoie un site la distanță de conectivitate securizată între rețele?
Unde se potrivește acest model și unde devine prea larg
Unele site-uri au cu adevărat nevoie de conectivitate extinsă. Un depozit poate depinde de un ERP central în timp ce folosește și imprimante, scanere și dispozitive operaționale locale. O sucursală de retail poate necesita mai multe sisteme de back-office legate de servicii centrale. Un site industrial sau agricol poate depinde de active locale care trebuie să rămână sincronizate cu sistemele de bază.
În aceste cazuri, conectivitatea extinsă a site-ului poate fi justificată deoarece site-ul în sine face parte din mediul de operare. Cheia este să recunoaștem că acesta este cel mai greu model de acces. Creează cea mai largă relație de încredere, așa că ar trebui rezervat pentru cazurile în care un design mai restrâns ar întrerupe fluxul de lucru.
Prioritățile de securitate pentru conectivitatea extinsă a site-ului
Aceasta este, de asemenea, zona în care disciplina de securitate contează cel mai mult. Odată ce un site este conectat pe scară largă, segmentarea, înregistrarea, politica de firewall și restricțiile de acces devin esențiale. TSplus Advanced Security este relevant aici nu pentru că creează conectivitatea, ci pentru că ajută la protejarea căilor de acces expuse și a infrastructurii sensibile bazate pe Windows cu caracteristici precum Firewall, Protecția IP împotriva hackerilor, Protecția geografică, Protecția împotriva atacurilor de tip bruteforce, Sesiuni securizate și Permisiuni.
O regulă bună este simplă: dacă utilizatorii de la site-ul remote au nevoie cu adevărat doar de una sau două aplicații, nu se face implicit încredere totală la nivelul întregului site. Aceasta este de obicei prea mult design pentru prea puțină nevoie.
Caz de utilizare 2: Când este necesar cu adevărat accesul securizat utilizator-rețea?
Scenarii tipice de lucru în sucursală și hibrid
Uneori, sucursala sau locația secundară nu necesită deloc o extensie largă. În schimb, un număr mic de angajați au nevoie de acces la mai multe resurse interne. Aceasta este o problemă diferită. Este acces la distanță la nivel de utilizator, nu acces la distanță la nivel de site.
Acest model este comun în operațiunile hibride. Un manager regional, un lider financiar sau o echipă administrativă mică pot avea nevoie de mai multe instrumente interne dintr-un birou satellite. Designul corect aici este modelat de identitatea individuală, dispozitiv, sesiune și politică, nu prin tratarea întregului site ca o extensie de încredere.
Unde se potrivește mai bine extensia specifică utilizatorului decât extensia la nivel de site
Această distincție este importantă deoarece accesul utilizatorului la rețea poate deveni în continuare prea extins. Dacă un utilizator are nevoie cu adevărat doar de o aplicație, acordarea unui acces intern larg adaugă riscuri fără a adăuga valoare. Suntem susținători fervenți ai reducerii expunerii și aplicării principiului privilegiului minim acolo unde este posibil, în special pentru IMM-uri și medii distribuite.
Prioritățile de securitate pentru accesul la distanță la nivel de utilizator
TSplus Advanced Security susține acest model prin adăugarea de controale în jurul celor care pot să se conecteze, din ce locație și în ce condiții. Protecția geografică poate restricționa accesul la adrese IP private și pe lista albă sau la regiuni alese. Protecția împotriva atacurilor de tip bruteforce poate bloca automat IP-urile ofensatoare după încercări repetate de autentificare eșuate. Acest lucru ajută la transformarea unei probleme largi de „utilizator remote” într-un traseu de acces mai controlat, bazat pe politici.
Caz de utilizare 3: Când este necesar un acces sigur la admin sau server?
Scenarii tipice IT și MSP
O mare parte din așa-numitele proiecte de conectivitate a site-urilor la distanță sunt, de fapt, proiecte de administrare IT. Un MSP trebuie să mențină un server client. Un administrator intern trebuie să actualizeze un gazdă la distanță. Un tehnician de helpdesk trebuie să rezolve problemele unui mediu de sesiune Windows. Nimic din toate acestea nu necesită oferirea utilizatorilor obișnuiți sau întregului site același nivel de acces.
De ce accesul de administrator ar trebui să rămână separat de accesul utilizatorilor obișnuiți
Accesul de administrator ar trebui tratat ca o categorie proprie, deoarece este privilegiat prin natura sa. Cel mai sigur design este de obicei cel care menține traficul de administrator separat de fluxurile de lucru ale utilizatorilor obișnuiți, limitează de unde se pot conecta administratorii și întărește calea de acces mult mai agresiv decât un canal standard pentru utilizatori.
Funcții de securitate concepute cu abilitate pentru o protecție optimă
Aceasta este una dintre cele mai puternice apeluri pentru software-ul nostru Advanced Security și caracteristicile sale. Protecția împotriva atacurilor de tip bruteforce este concepută explicit pentru a monitoriza încercările de autentificare eșuate pe Windows și a bloca IP-urile atacatoare. Firewall-ul său, Permisiunile, Sesiunile Securizate și rapoartele sunt direct utile atunci când ținta este un server Windows accesibil public sau un drum de administrare la distanță.
Prioritățile de securitate pentru accesul la distanță privilegiat
Aceasta este, de asemenea, zona în care nu toate caracteristicile produselor noastre se aplică în același mod. De exemplu, Dispozitivele de Încredere funcționează cu conexiuni din Portalul Web TSplus Remote Access. De fapt, veți găsi în notele noastre de documentație că Portalul Web este incompatibil cu sesiunile HTML5 sau cu dispozitivele iOS și Android care ascund numele gazdelor. Acest lucru este important atunci când planificați aplicarea încrederii dispozitivelor pentru fluxurile de lucru ale administratorilor.
Ești în căutarea unor soluții pentru RDP sau securizarea punctelor de acces admin în sucursale și site-uri secundare? Știai? Întreabă-ne și împreună vom programa o demonstrație ghidată a TSplus Advanced Security.
Caz de utilizare 4: Când este accesul doar la aplicație sau accesul cu privilegii minime răspunsul mai bun?
Scenarii tipice bazate pe sucursală, furnizor și sarcină
Acesta este adesea cel mai curat model și cel pe care multe medii îl ignoră. Dacă un angajat dintr-o filială are nevoie doar de un ecran ERP, un sistem de programare, un instrument de contabilitate sau o altă aplicație Windows publicată, accesul extins la distanță este adesea inutil. Răspunsul corect nu este „mai mult rețea”. Este „mai puțin acces, livrat mai bine.”
De ce accesul limitat reduce riscul
Acesta este locul unde un alt produs din suita noastră devine foarte pertinent. TSplus Remote Access suportă un portal web securizat și publicarea aplicațiilor, ceea ce permite utilizatorilor să acceseze o aplicație sau o experiență desktop controlată fără a deschide mediul mai larg. Indiferent de instrumentul de livrare în sine, accesul exclusiv la aplicații este alegerea de design corectă pentru acest scenariu.
Prioritățile de securitate pentru accesul publicat și limitat
TSplus Advanced Security rămâne central deoarece chiar și un model de acces mai restrâns are nevoie de protecție. Serverele de aplicații expuse publicului și căile de acces web sunt în continuare suprafețe de atac. Citiți articolul nostru despre gateway-ul web securizat pentru mai multe informații despre protecția împotriva atacurilor de tip brute-force și filtrarea geografică a IP-urilor. Acestea sunt deosebit de importante pentru serviciile RDP și portalurile web expuse și sunt exact tipul de întărire de care are nevoie livrarea aplicațiilor orientate pe ramuri.
Accesul cu privilegii minime este, de asemenea, modelul corect pentru furnizori, contractori și parteneri temporari. Dacă o terță parte are nevoie de un instrument intern, o interfață de întreținere sau un flux de lucru limitat în timp, oferindu-le un acces mai larg decât atât nu este convenabil. Este o expunere excesivă.
Cum poți alege cel mai sigur model pentru fiecare site remote?
Un cadru decizional practic începe cu patru întrebări.
În primul rând, ce trebuie atins?
Dacă răspunsul este „infrastructură de site partajată și multiple sisteme interne”, conectivitatea între rețele poate fi justificată. Dacă răspunsul este „câteva resurse interne pentru utilizatori selectați”, accesul utilizator-rețea este mai apropiat. Dacă răspunsul este „managementul și întreținerea serverului”, este o problemă de acces administrativ. Dacă răspunsul este „o aplicație sau o sarcină”, accesul doar la aplicație sau accesul cu privilegii minime ar trebui să conducă designul.
În al doilea rând, cine are nevoie de acces?
O întreagă sucursală, un grup mic de utilizatori, o echipă IT și un furnizor extern nu ar trebui să moștenească același model de încredere.
În al treilea rând, cât de multă expunere este acceptabilă?
Cu cât este mai extinsă acoperirea, cu atât controalele compensatorii trebuie să fie mai puternice. Poziționarea de securitate a TSplus favorizează constant o expunere redusă, o identitate mai puternică, aplicarea politicilor și monitorizarea în detrimentul încrederii implicite extinse.
Patru, ce povară de suport poate susține de fapt mediul?
Echipele IT mici și MSP-urile au nevoie de soluții care să fie sigure, dar gestionabile. Aceasta este un motiv pentru care TSplus poziționează Advanced Security în jurul protecției practice, fără complexitate inutilă.
Unde se potrivește cel mai bine TSplus Advanced Security?
Protejarea căilor de acces expuse
TSplus Advanced Security este esențial pentru a ajuta la securizarea oricărui model de site la distanță pe care îl selectați, cu caracteristicile sale:
Protecția IP împotriva hackerilor,
Protecție geografică,
Protecția împotriva atacurilor de tip bruteforce
Restricționare a orelor de lucru,
Firewall,
Alerte,
Rapoarte,
Protecția împotriva ransomware-ului,
Permisiuni,
Sesiuni securizate
și Dispozitive de Încredere.
Aplicarea politicii cu geo, IP și controale de sesiune
Acest instrument 360 este conceput pentru a proteja medii distribuite bazate pe Windows cu căi de acces la distanță expuse. Documentația sa de pornire rapidă pune Ransomware Protection, Bruteforce Protection și Geographic Protection în centrul configurării inițiale, ceea ce reflectă concentrarea practică a produsului pe întărirea securității. Pentru sucursale și site-uri secundare, această combinație este utilă deoarece principalele riscuri sunt adesea atacuri repetate de autentificare, acces sursă prea larg, utilizarea greșită a sesiunilor și impactul asupra afacerii al ransomware-ului care se răspândește prin sistemele accesibile.
Consolidarea mediilor distribuite împotriva ransomware-ului și a utilizării necorespunzătoare
Protecția împotriva ransomware-ului este deosebit de relevantă în medii distribuite. Aceasta detectează, blochează și previne ransomware-ul, folosind atât analiza statică, cât și analiza comportamentală, și poate reacționa imediat ce detectează ransomware într-o sesiune. Acest lucru este valoros atunci când un punct final compromis, un utilizator la distanță sau un flux de lucru dintr-o sucursală devine un punct de pivotare în sistemele centrale.
Exemple de site-uri remote din lumea reală
A filială de retail de obicei se potrivește modelului exclusiv pentru aplicații. Personalul are de obicei nevoie de un set limitat de instrumente de afaceri, nu de o acoperire extinsă a rețelei. Designul mai sigur este adesea acces public plus puncte de intrare întărite.
A depozit sau site industrial este mai probabil să justifice conectivitatea extinsă deoarece dispozitivele locale și sistemele centrale necesită coordonare continuă. Chiar și atunci, accesul de administrator ar trebui să rămână separat și strict controlat.
A birou de sănătate prin satelit de obicei necesită o delimitare mai puternică. Roluri diferite necesită sisteme diferite, iar accesul larg poate crea atât probleme de securitate, cât și de conformitate. Accesul la nivel de utilizator sau la nivel de aplicație este adesea un punct de plecare mai bun decât conectivitatea generală.
Un site-ul clientului gestionat de MSP este de obicei o problemă de acces admin/server. Furnizorul are nevoie de un traseu de suport sigur și auditabil, nu de o încredere deschisă și largă în întreaga mediu al clientului.
Pentru a concluziona: Începeți cu domeniul de acces, apoi asigurați-l corespunzător.
Conectivitatea la site-ul de la distanță nu este o problemă cu un singur răspuns. Unele site-uri au nevoie de conectivitate extinsă. Unele au nevoie de acces pentru utilizatori selectați. Unele au nevoie de căi de administrare privilegiate. Unele au nevoie doar de o aplicație publicată sau de un flux de lucru bine definit.
De aceea, cea mai bună întrebare de design securizat nu este „Care protocol de acces la distanță securizat sună cel mai puternic?” ci „Care este cel mai mic model practic de acces care permite în continuare funcționarea acestui site la distanță?” Odată ce aceasta este răspunsă, securitatea devine mai clară și mai ușor de menținut.
TSplus Advanced Security se potrivește bine cu această strategie. Nu te cere să ai încredere în fiecare site remote în mod egal. Te ajută să întărești calea aleasă cu măsuri de protecție relevante, adecvate și bine direcționate pentru mediile distribuite care contează cel mai mult pentru utilizarea ta.
Întrebări frecvente
1. Care este cea mai bună modalitate de a securiza conexiunile la distanță pentru un site la distanță?
Cea mai bună modalitate este să potriviți modelul de acces cu nevoia reală. Unele site-uri remote au nevoie de conectivitate extinsă, dar multe au nevoie doar de acces la nivel de utilizator, la nivel de administrator sau doar la aplicație. Securitatea se îmbunătățește atunci când domeniul de acces este redus înainte de a fi adăugate controale.
2. Are fiecare birou sucursală nevoie de conectivitate completă între rețele?
Nu. Multe filiale au nevoie doar de câteva aplicații interne sau de un traseu administrativ controlat. Extinderea încrederii largi la întregul site ar crește riscul și complexitatea fără a îmbunătăți rezultatul utilizatorului.
3. Când este accesul utilizator-la-rețea mai bun decât conectivitatea completă la nivel de site?
Este mai bine când utilizatorii selectați au nevoie de mai multe resurse interne, dar site-ul în sine nu trebuie să funcționeze ca o extensie completă a rețelei. Acest lucru menține încrederea mai strâns legată de identitate și politică.
4. Când este accesul doar la aplicație cea mai bună alegere?
Accesul exclusiv la aplicații este adesea cel mai bun atunci când utilizatorii au nevoie de una sau câteva aplicații de afaceri, mai degrabă decât de o acoperire extinsă a rețelei. Acesta reduce expunerea excesivă și se aliniază mai bine cu designul de privilegiu minim.
5. Cum ajută TSplus Advanced Security la protejarea accesului la site-uri remote?
TSplus Advanced Security adaugă controale precum Protecția Geografică, Protecția împotriva Bruteforce, Firewall, Permisiuni, Sesiuni Securizate, Dispozitive de Încredere și Protecția împotriva Ransomware pentru a ajuta la întărirea căilor de acces la distanță și a mediilor Windows distribuite.
)
)
)
