)
)
Úvod
Bezpečný prístup k súkromným aplikáciám prostredníctvom prehliadača umožňuje zamestnancom, dodávateľom a partnerom pristupovať k obchodným aplikáciám odkiaľkoľvek bez otvorenia celej siete. Pre IT tímy v malých a stredných podnikoch je výzvou vyvážiť pohodlie s ochranou. Tento článok vysvetľuje, ako znížiť riziko vzdialeného prístupu prostredníctvom minimálnych oprávnení, silnejšej autentifikácie a kontrolovaných pravidiel pripojenia.
Čo je zabezpečený prístup k súkromným aplikáciám?
Bezpečný prístup k súkromným aplikáciám prostredníctvom prehliadača umožňuje autorizovaným používateľom otvárať interné obchodné aplikácie cez webový prehliadač. Namiesto pripojenia k celej sieti prostredníctvom virtuálnej privátnej siete, alebo VPN, sa používatelia dostanú iba k aplikáciám, ktoré sú im priradené.
Súkromná aplikácia môže byť systémom plánovania podnikových zdrojov, účtovným softvérom, databázou zákazníkov, interným portálom, administrátorskou konzolou, staršou aplikáciou Windows alebo Protokol vzdialeného plochy RDP, aplikácia. Aplikácia je súkromná, pretože by nemala byť priamo dostupná na verejnom internete.
Bezpečnostný princíp je jednoduchý: prístup cez prehliadač by mal poskytovať aplikáciu, nie celú sieť. To podporuje minimálne oprávnenie, kde používatelia dostávajú prístup potrebný pre svoju úlohu a nič viac.
Bezpečný prístup cez prehliadač musí chrániť aj to, čo sa nachádza za prihlasovacou stránkou. Windows relácie, súbory, poverenia a obchodné aplikácie zostávajú cennými cieľmi, takže serverové prostredie potrebuje bezpečnostné opatrenia nad rámec jednoduchého overovania.
Prečo môže prístup iba cez VPN vytvoriť zbytočné riziko?
VPN-y zostávajú užitočné pre administrátorov a technických používateľov, ktorí potrebujú široký prístup na úrovni siete. VPN vytvára šifrovaný tunel do súkromnej siete a môže byť účinná, ak je správne nakonfigurovaná.
Avšak prístup iba cez VPN môže byť nadmerný, keď používateľ potrebuje jednu aplikáciu alebo malú skupinu obchodných zdrojov. V takom prípade môže VPN zvýšiť viditeľnosť siete, prácu s podporou koncových bodov a možný dopad kompromitovaného účtu.
NIST SP 800-46 Rev. 2 vysvetľuje, že programy zabezpečenia vzdialeného prístupu by mali zohľadňovať teleprácu, vzdialený prístup a scenáre vlastných zariadení, vrátane bezpečnostnej politiky a technologických kontrol. To je dôležité, pretože prístup k súkromným aplikáciám často zahŕňa externých používateľov, neovládané zariadenia a pripojenia z sietí mimo kontrolu organizácie.
Pre malé a stredné podniky môže zložitost VPN predstavovať každodenný prevádzkový problém. Dodávatelia môžu potrebovať dočasný prístup. Používatelia môžu pracovať z osobných zariadení. IT tímy môžu tráviť príliš veľa času správou klientov namiesto znižovania rizika.
Bezpečný prístup k súkromným aplikáciám cez prehliadač ponúka zameranejší model. Organizácia zverejňuje konkrétne aplikácie, kontroluje, kto sa môže pripojiť, a chráni infraštruktúru, na ktorej tieto aplikácie bežia.
Čo robí prístup cez prehliadač bezpečným?
Prístup cez prehliadač nie je automaticky zabezpečený. Webový portál, prihlasovacia stránka alebo publikovaná aplikácia môžu byť stále napadnuté, ak sú vystavené bez silných kontrol.
Bezpečný prístup cez prehliadač závisí od troch vrstiev: identita, rozsah aplikácie a ochrana infraštruktúry. Každá vrstva znižuje rôznu časť rizika vzdialeného prístupu.
Identita a autentifikácia
Identifikačné kontroly rozhodujú, kto má povolené pripojenie. Organizácie by mali používať silné politiky hesiel, viacfaktorovú autentifikáciu alebo MFA a pravidlá uzamknutia účtov pre vystavené prístupové body.
Pre prostredia založené na RDP je dôležitá aj autentifikácia na úrovni siete, alebo NLA. NLA autentifikuje používateľov predtým, ako sa vytvorí plná RDP relácia, čo pomáha znížiť zbytočné vystavenie serverových zdrojov.
Kontrola prístupu na úrovni aplikácie
Kontrola prístupu na úrovni aplikácie definuje, čo môže každý používateľ dosiahnuť po autentifikácii. Toto je rozdiel medzi „používateľ môže otvoriť aplikáciu na účtovníctvo“ a „používateľ môže prehliadať server.“
Bezpečný prístup cez prehliadač by mal priraďovať aplikácie podľa používateľa alebo skupiny. Finančné tímy, externí účtovníci, dodávatelia a administrátori by nemali dostávať rovnaký prístup predvolene. To podporuje praktický Zero Trust pre SMB vzdialený prístup model, kde je každý používateľ, zariadenie a relácia overená pred povolením prístupu.
Ochrana serverov a dát
Bezpečný prístup cez prehliadač by mal preto zahŕňať pokročilá bezpečnosť ovládacie prvky, ako sú obrana proti hrubej sile, geografické filtrovanie, obmedzenia pracovných hodín, kontrola oprávnení, ochrana pred ransomwarom, upozornenia a bezpečnostné protokoly. Bez týchto vrstiev sa prehliadač jednoducho stáva ďalším vystaveným povrchom vzdialeného prístupu.
Bezpečný prístup cez prehliadač by preto mal zahŕňať obranu proti hrubej sile, geografické filtrovanie, obmedzenia pracovných hodín, kontrolu oprávnení, ochranu pred ransomvérom, upozornenia a bezpečnostné protokoly. Bez týchto vrstiev sa prehliadač jednoducho stáva ďalším vystaveným povrchom pre vzdialený prístup.
Aké sú najlepšie praktiky pre bezpečný prístup k súkromným aplikáciám cez prehliadač?
Bezpečná stratégia prístupu cez prehliadač by mala znížiť vystavenie pred, počas a po každom pripojení. Nasledujúce praktiky pomáhajú IT tímom chrániť súkromné aplikácie bez vytvárania zbytočnej zložitosti.
Zverejnite iba aplikácie, ktoré používatelia potrebujú
Publikovanie aplikácií by malo začať mapovaním rolí. Každý používateľ alebo skupina by mali získať prístup iba k aplikáciám potrebným na každodennú prácu.
Napríklad externý účtovník môže potrebovať účtovnú aplikáciu, ale nie plnú pracovnú plochu. Podporný dodávateľ môže potrebovať jednu administračnú konzolu, ale nie prístup k súborovému serveru.
Tento rozsah znižuje potenciálne škody spôsobené ukradnutými povereniami alebo zneužitím relácie. Aj keď je účet ohrozený, útočník má menej systémov, ktoré môže dosiahnuť.
Vyhnite sa priamemu vystaveniu RDP a vzdialeným službám.
Priamo vystavené vzdialené služby priťahujú skenery, nástroje na hrubú silu a útoky na poverenia. RDP by nemalo byť ponechané otvorené na internete bez dodatočnej ochrany.
Microsoft Learn popisuje Remote Desktop Gateway, alebo RD Gateway, ako spôsob, ako sa používatelia môžu bezpečne pripojiť k interným sieťovým zdrojom z vonku firewalla spoločnosti. Tento model založený na bráne pomáha vyhnúť sa nekontrolovanému priamemu prístupu k interným systémom.
Aj keď organizácia používa webový portál alebo bránu, administrátori by mali stále znížiť vystavené porty, posilniť autentifikáciu a monitorovať správanie pri prihlasovaní. Bezpečnosť vzdialeného prístupu závisí od celej reťaze, nielen od prvej prihlasovacej obrazovky.
Vynútiť MFA, NLA a silné politiky hesiel
Heslá samotné nestačia na vzdialený prístup. Opakované heslá, phishing a naplnenie poverení robia vystavené prihlasovacie stránky bežným cieľom.
MFA pridáva druhý overovací krok. NLA pomáha chrániť prostredia RDP autentifikovaním používateľov pred vytvorením plnej vzdialenej relácie. Silné pravidlá hesiel a politiky zablokovania účtov znižujú pravdepodobnosť, že automatizované hádanie uspeje.
Administrátorské účty potrebujú prísnejšie kontroly. Prístup administrátora by mal používať MFA, obmedzené zdrojové lokácie, špecifické poverenia a bližšie monitorovanie.
Obmedziť prístup podľa krajiny, IP adresy a pracovných hodín
Nie každá organizácia musí akceptovať vzdialené pripojenia z každej lokality. Geografické obmedzenia a zoznamy povolených IP znižujú zbytočné vystavenie.
Napríklad, SMB, ktorý pôsobí iba vo Francúzsku, Španielsku a Nemecku, môže zablokovať pokusy o prihlásenie z iných krajín. Poskytovateľ spravovaných služieb môže obmedziť prístup administrátora na dôveryhodné IP adresy kancelárie.
Obmedzenia pracovných hodín pridávajú ďalšiu užitočnú vrstvu. Ak dodávatelia pracujú od pondelka do piatku, od 08:00 do 18:00, ich relácie by nemali zostať dostupné o 02:00 v nedeľu.
Aplikujte minimálne oprávnenia na súbory, tlačiarne a systémové zdroje
Prístup k aplikáciám automaticky neznamená bezpečný prístup. Keď sa relácia otvorí, používatelia môžu stále interagovať s miestnymi diskami, tlačiarňami, kľúčmi registru alebo priečinkami.
Administrátori by mali skontrolovať práva súborového systému, prístup k tlačiarni, správanie schránky a systémové nastavenia. Používateľ, ktorý potrebuje jednu súkromnú aplikáciu, by nemal dostávať široké serverové oprávnenia.
Najmenšie privilégium obmedzuje rozsah škôd z kompromitovaného účtu. Taktiež znižuje pravdepodobnosť, že používateľská chyba alebo malware ovplyvní nesúvisiace zdroje.
Monitorovanie neúspešných prihlásení a správania ransomvéru
Opakované neúspešné prihlásenia môžu naznačovať aktivitu hrubej sily, naplnenie poverení alebo nesprávne nakonfigurované skripty. Automatizované blokovanie je užitočné, pretože útoky sa môžu diať rýchlejšie, ako môžu administrátori reagovať manuálne. Pre vystavené prístupové cesty by IT tímy mali tiež preskúmať praktické. ochrana pred hrubou silou ovládacie prvky ako MFA, obmedzenia IP, NLA, TLS a detekcia v reálnom čase.
Ochrana pred ransomvérom patrí aj do stratégie vzdialeného prístupu. Pokyny CISA týkajúce sa ransomvéru sa zameriavajú na zníženie pravdepodobnosti a dopadu incidentov ransomvéru, čo je priamo relevantné, keď sa súkromné aplikácie pripájajú k zdieľaným súborom alebo prevádzkovým údajom.
Prístup cez prehliadač, prístup cez bránu a prístup RDP by mali všetky generovať udalosti, ktoré môžu administrátori preskúmať. Viditeľnosť je nevyhnutná pre rýchlu reakciu a dlhodobé zabezpečenie.
Aký je kontrolný zoznam implementácie pre SMB?
Pred publikovaním súkromných aplikácií prostredníctvom prehliadača by IT tímy mali potvrdiť nasledujúce kontroly. Tento kontrolný zoznam pomáha znížiť vystavenie, obmedziť oprávnenia používateľov a chrániť servery Windows za vzdialeným prístupom.
Definujte používateľov a prístup k aplikáciám
Začnite identifikovaním toho, kto potrebuje vzdialený prístup a prečo. Vytvorte používateľské skupiny pre zamestnancov, dodávateľov, administrátorov a externých partnerov, potom priraďte každú skupinu k aplikáciám potrebným pre ich úlohu.
Zverejnite iba aplikácie alebo plochy, ktoré každá skupina potrebuje. Vyhnite sa poskytovaniu plného prístupu na plochu používateľom, keď je jedna obchodná aplikácia dostatočná.
Posilniť autentifikáciu
Vyžadujte viacfaktorovú autentifikáciu pre vzdialených používateľov, externých používateľov a administrátorov. MFA znižuje riziko, že ukradnuté alebo uhádnuté heslo sa stane úspešným kompromitovaním.
Kde sa používa protokol Remote Desktop, povolte overenie na úrovni siete. NLA pomáha autentifikovať používateľov predtým, ako sa vytvorí plná vzdialená relácia.
Znížte vystavenie internetu
Vyhnite sa priamemu vystaveniu RDP na Internet. Použite kontrolované prístupové body, brány alebo zabezpečené webové prístupové modely, ktoré zahŕňajú autentifikáciu, filtrovanie a monitorovanie.
Pravidelne kontrolujte vystavené porty a služby. Odstráňte verejný prístup, ktorý už nie je potrebný.
Obmedziť prístup podľa kontextu
Obmedzte vzdialený prístup podľa krajiny, dôveryhodnej IP adresy a pracovných hodín. Tieto kontroly pomáhajú blokovať pripojenia, ktoré nezodpovedajú normálnej obchodnej činnosti.
Napríklad, dodávateľ, ktorý pracuje počas pracovných hodín, by nemal mať možnosť pripojiť sa neskoro v noci alebo z neočakávaných regiónov.
Použiť minimálne oprávnenie
Skontrolujte povolenia súborového systému, tlačiarne, registra a schránky. Používatelia by mali mať iba práva potrebné na dokončenie svojej práce.
Najmenšie privilégium obmedzuje škody spôsobené kompromitovanými účtami, malvérom alebo chybami používateľov.
Povoliť automatizovanú ochranu pred hrozbami
Povoľte ochranu proti hrubej sile a automatizované blokovanie IP. Opakované neúspešné pokusy o prihlásenie by mali spustiť rýchlu obrannú akciu bez čakania na manuálny zásah.
Povoľte ochranu pred ransomvérom na serveroch, ktoré hostia obchodné aplikácie a dáta. Bezpečnosť vzdialeného prístupu by mala chrániť ako prihlasovací bod, tak aj serverové prostredie za ním.
Pravidelne kontrolujte udalosti
Kontrolujte protokoly, upozornenia, zablokované IP adresy a udalosti ransomware na pravidelnom základe. Viditeľnosť zabezpečenia pomáha IT tímom odhaľovať podozrivé správanie a vylepšovať prístupové politiky v priebehu času.
Dokumentuje zmeny po každom preskúmaní. Týmto sa udržiavajú kontroly vzdialeného prístupu v súlade s používateľmi, dodávateľmi a obchodnými potrebami.
Bezpečný prístup k prehliadaču vs VPN, VDI a ZTNA – Porovnávacia tabuľka
VPN, virtuálna desktopová infraštruktúra, alebo VDI, prístup k sieti s nulovou dôverou, alebo ZTNA, a zabezpečený prístup cez prehliadač riešia súvisiace problémy rôznymi spôsobmi.
| Prístup | Najlepšie prispôsobenie | Hlavné riziko | Zohľadnenie SMB |
|---|---|---|---|
| VPN | Používatelia, ktorí potrebujú široký prístup k sieti | Viac viditeľnosti siete, než je potrebné | Môže zvýšiť zložitosti podpory a koncových bodov |
| VDI | Centralizované desktopové prostredia | Náklady a administratívne náklady | Silný, ale často ťažký pre jednoduchý prístup k aplikáciám |
| ZTNA | Granulárny prístup k súkromným zdrojom | Architektúra a zložitosti licencovania | Silný model, ale môže byť zložitý pre menšie tímy |
| Bezpečný prístup cez prehliadač | Používatelia, ktorí potrebujú konkrétne súkromné aplikácie | Odhalený portál, ak nie je chránený | Praktické, keď je spárované s silnou serverovou bezpečnosťou |
VPN sú užitočné, keď používateľ skutočne potrebuje prístup k sieti. VDI je užitočné, keď organizácia chce centralizovať plné pracovné plochy. ZTNA je užitočné, keď je organizácia pripravená vytvoriť podrobný prístup založený na identite naprieč mnohými súkromnými zdrojmi.
Bezpečný prístup cez prehliadač je často ľahšou voľbou pre malé a stredné podniky. Používatelia otvoria prehliadač, autentifikujú sa a dostanú sa k prideleným aplikáciám. Model sa stáva bezpečným, keď je hostingová infraštruktúra chránená pred bežnými hrozbami vzdialeného prístupu.
Ako TSplus pomáha zabezpečiť prístup k súkromným aplikáciám cez prehliadač
TSplus Advanced Security chráni servery a relácie Windows za vzdialeným prístupom k súkromným aplikáciám. Pomáha znižovať bežné riziká vystavenia, ako sú pokusy o prihlásenie pomocou hrubej sily, neželané geografické pripojenia, prístup mimo schválených hodín, nadmerné oprávnenia a správanie ransomvéru.
Administrátori môžu používať Bruteforce Protection, Geographic Protection, Working Hours, Permissions, Ransomware Protection, Firewall, Alerts a Reports na zabezpečenie prístupu k súkromným aplikáciám založeným na prehliadači. Spoločne tieto kontroly pomáhajú obmedziť, kto sa môže pripojiť, kedy je prístup povolený a ktoré hrozby sú zablokované.
Záver
Bezpečný prístup k súkromným aplikáciám cez prehliadač môže znížiť závislosť od VPN a obmedziť vystavenie siete, keď je ochrana na strane servera silná. TSplus pomáha SMB kontrolovať, kto sa pripája, obmedziť rizikové miesta a hodiny, blokovať pokusy o hrubú silu, spravovať oprávnenia a zastaviť správanie ransomvéru, takže súkromné aplikácie zostávajú dostupné pre autorizovaných používateľov bez zbytočného vystavenia infraštruktúry Windows počas každodenných obchodných operácií.
)
)
)
