)
)
Bezpečné pripojenie na vzdialené lokality začína skutočnou požiadavkou na prístup pre každú pobočku, sklad, kliniku, maloobchod, farmu, priemyselnú lokalitu alebo spravovanú zákaznícku lokalitu. Tu sa sústreďujeme na štyri praktické potreby: pripojenie medzi sieťami, prístup používateľa do siete, prístup administrátora/servera a prístup iba k aplikáciám alebo prístup s minimálnymi oprávneniami.
Toto preformulovanie mení rozsah zabezpečeného protokolu vzdialeného prístupu pre pobočkové situácie na zdroj praktických riešení, ktoré môžete znovu použiť. Aplikujeme ho aj na niekoľko konkrétnych prípadov. Na záver ukážeme úlohy, ktoré zohráva TSplus Advanced Security pri ochrane distribuovaných prostredí vzdialeného prístupu.
Prečo sa rozhodnutia o zabezpečenej vzdialenej konektivite na mieste často mýlia?
Začínajúc technológiou namiesto rozsahu prístupu
Mnohé projekty vzdialeného prístupu začínajú s obvyklým nástrojom namiesto definovaného prípadu použitia. Otvorí sa sekundárna kancelária, nový sklad začne fungovať alebo MSP pripojí zákaznícku lokalitu a prvou reakciou je často rozšíriť široké pripojenie. Tento prístup môže fungovať, ale môže tiež poskytnúť vzdialenej lokalite oveľa väčší dosah, než skutočne potrebuje.
Prečo jeden „ďaleký web“ neznamená jeden „model prístupu“?
To je dizajnová chyba. Všetky vzdialené lokality nie sú jednou technickou kategóriou. Jedna lokalita potrebuje zdieľanú infraštruktúru a trvalé pripojenie k podnikovým zdrojom. Iná potrebuje len niekoľko používateľov na prístup k interným zdrojom. Ďalšia hlavne potrebuje IT administráciu. Ešte jedna potrebuje jednu publikovanú aplikáciu a nič iné. Rovnako zaobchádzať so všetkými štyrmi prípadmi vytvára zbytočnú dôveru, väčšiu expozíciu a viac bezpečnostného zaťaženia.
NISTova smernica o vzdialenom prístupe vyjadruje rovnaký názor formálnejším spôsobom: vzdialený prístup by mal byť navrhnutý tak, aby zachoval bezpečnosť a zároveň obmedzil zbytočné vystavenie. Inými slovami, správna prvá otázka nie je „Akú metódu pripojenia už poznáme?“ ale „Čo presne musí tento web, používateľ alebo administrátor dosiahnuť?“
Ktoré 4 bezpečné modely vzdialenej konektivity sú najdôležitejšie?
Pre väčšinu prostredí pobočiek a sekundárnych lokalít spadá vzdialená konektivita do štyroch praktických modelov.
Prepojenie medzi sieťami
Prvý je prístup z siete do siete Toto je správny mentálny model, keď sa vzdialená lokalita sama musí správať ako súčasť širšej organizácie. Miestna infraštruktúra, systémy lokalít, zdieľané zdroje a centrálne služby musia všetky spolupracovať konzistentne.
Prístup používateľa k sieti
Druhý zahŕňa pripojenia používateľa k sieti Tu, stránka nepotrebuje široké rozšírenie, ale niektorí ľudia áno. Zamestnanci môžu potrebovať niekoľko interných zdrojov z vzdialenej kancelárie, domáceho pracoviska pripojeného k pracovnému toku pobočky alebo pri presúvaní sa medzi lokalitami.
Admin/prístup k serveru
Tretie prístupy admin/server zariadenia Toto je pre IT operácie. Hlavnou požiadavkou je kontrolovaná údržba, podpora, riešenie problémov a správa serverov, nie široký dosah na koncových používateľov.
Prístup iba k aplikácii alebo prístup s minimálnymi oprávneniami
Štvrtý je prístup iba k aplikácii alebo prístup s minimálnymi oprávneniami Tento model najlepšie vyhovuje, keď používatelia, dodávatelia alebo predajcovia potrebujú iba konkrétnu aplikáciu alebo úzko definovaný zdroj. Úzko súvisí s našou preferenciou pre Zero Trust. Celkovo zdôrazňujeme dôležitosť overovania používateľa, zariadenia a relácie namiesto dôvery v cestu len preto, že existuje.
Use case 1: Kedy naozaj potrebuje vzdialené miesto zabezpečené pripojenie medzi sieťami?
Kde sa tento model hodí a kde sa stáva príliš širokým
Niektoré stránky skutočne potrebujú široké pripojenie. Sklad môže spoliehať na centrálny ERP, zatiaľ čo tiež používa miestne tlačiarne, skenery a prevádzkové zariadenia. Maloobchodná pobočka môže potrebovať niekoľko systémov back-office prepojených na centrálne služby. Priemyselná alebo poľnohospodárska lokalita môže závisieť od miestnych aktív, ktoré musia zostať synchronizované s hlavnými systémami.
V týchto prípadoch môže byť široká konektivita stránok odôvodnená, pretože samotná stránka je súčasťou prevádzkového prostredia. Kľúčom je uznať, že ide o najťažší model prístupu. Vytvára najširší vzťah dôvery, takže by mal byť vyhradený pre prípady, kde by užšie navrhnutie narušilo pracovný tok.
Bezpečnostné priority pre rozšírené pripojenie na stránku
Toto je tiež miesto, kde je disciplína v oblasti bezpečnosti najdôležitejšia. Keď je stránka široko pripojená, segmentácia, protokolovanie, politika firewallu a obmedzenia prístupu sa stávajú nevyhnutnými. TSplus Advanced Security je tu relevantný nie preto, že vytvára konektivitu, ale preto, že pomáha chrániť vystavené prístupové cesty a citlivú infraštruktúru založenú na Windows s funkciami ako Firewall, ochrana pred hackermi, geografická ochrana, ochrana pred brutálnym útokom, zabezpečené relácie a oprávnenia.
Dobrým pravidlom je jednoduché: ak používatelia na vzdialenom mieste naozaj potrebujú iba jednu alebo dve aplikácie, nepredpokladajte plnú dôveru na celom webe. To je zvyčajne príliš veľa dizajnu pre príliš malú potrebu.
Prípad použitia 2: Kedy je bezpečný prístup používateľa k sieti skutočnou potrebou?
Typické scenáre pobočkovej a hybridnej práce
Niekedy pobočka alebo sekundárna lokalita vôbec nepotrebuje široké rozšírenie. Namiesto toho niekoľko zamestnancov potrebuje prístup k viacerým interným zdrojom. To je iný problém. Ide o vzdialený prístup na úrovni používateľa, nie na úrovni lokality.
Tento model je bežný v hybridných operáciách. Regionálny manažér, vedúci financí alebo malý administratívny tím môže potrebovať niekoľko interných nástrojov z pobočky. Správny dizajn je tu formovaný individuálnou identitou, zariadením, reláciou a politikou, nie zaobchádzaním s celým miestom ako s dôveryhodným rozšírením.
Kde sa používateľské špecifické hodí lepšie ako rozšírenie pre celú stránku
Táto diferenciácia je dôležitá, pretože prístup používateľa k sieti sa môže stále stať príliš širokým. Ak používateľ naozaj potrebuje len jednu aplikáciu, poskytnutie širokého interného prístupu zvyšuje riziko bez pridania hodnoty. Sme pevnými zástancami znižovania vystavenia a uplatňovania minimálnych oprávnení, kde je to možné, najmä pre SMB a distribuované prostredia.
Prioritné bezpečnostné opatrenia pre vzdialený prístup na úrovni používateľa
TSplus Advanced Security podporuje tento model pridaním kontrol okolo toho, kto sa môže pripojiť, odkiaľ a za akých podmienok. Geografická ochrana môže obmedziť prístup k súkromným a schváleným IP adresám alebo vybraným regiónom. Ochrana pred brutálnym útokom môže automaticky zablokovať problémové IP adresy po opakovaných neúspešných prihláseniach. To pomáha previesť široký problém "ďalekého používateľa" na viac kontrolovanú prístupovú cestu riadenú politikou.
Prípad použitia 3: Kedy je bezpečný prístup administrátora alebo servera skutočná potreba?
Typické scenáre IT a MSP
Veľká časť takzvaných projektov pripojenia na vzdialené lokality sú v skutočnosti projekty správy IT. MSP musí udržiavať server klienta. Interný administrátor musí opraviť vzdialený hostiteľ. Technický pracovník helpdesku musí riešiť problémy s prostredím relácie Windows. Nič z toho nevyžaduje poskytovanie bežným používateľom alebo celej lokalite rovnakú úroveň prístupu.
Prečo by mal byť administrátorský prístup oddelený od prístupu bežného používateľa
Prístup administrátora by sa mal považovať za vlastnú kategóriu, pretože je z povahy privilegovaný. Najbezpečnejší dizajn je zvyčajne ten, ktorý udržuje administrátorskú prevádzku oddelenú od bežných pracovných tokov používateľov, obmedzuje miesta, z ktorých sa môžu administrátori pripojiť, a oveľa agresívnejšie zabezpečuje vstupnú cestu ako štandardný používateľský kanál.
Zručne navrhnuté bezpečnostné funkcie pre optimálnu ochranu
Toto je jedna z najsilnejších výziev pre náš softvér Advanced Security a jeho funkcie. Bruteforce Protection produktu je explicitne navrhnutá na monitorovanie neúspešných pokusov o prihlásenie do systému Windows a na čiernu listinu útočiacich IP adries. Jeho Firewall, oprávnenia, zabezpečené relácie a správy sú priamo užitočné, keď je cieľom verejne prístupný server Windows alebo cesta na vzdialenú správu.
Prioritné bezpečnostné opatrenia pre privilegovaný vzdialený prístup
Toto je tiež miesto, kde sa nie všetky funkcie našich produktov uplatňujú rovnakým spôsobom. Napríklad, Dôveryhodné zariadenia fungujú s pripojeniami z TSplus Remote Access Web Portal. V skutočnosti nájdete v našich dokumentačných poznámkach, že Web Portal nie je kompatibilný s reláciami HTML5 alebo zariadeniami iOS a Android, ktoré skrývajú názvy hostiteľov. To je dôležité pri plánovaní vynucovania dôveryhodnosti zariadení pre administrátorské pracovné postupy.
Riešite problémy s RDP alebo zabezpečujete administrátorské vstupné body na pobočkách a sekundárnych lokalitách? Vedeli ste, že? Opýtajte sa nás a spoločne naplánujeme vedenú ukážku TSplus Advanced Security.
Prípad použitia 4: Kedy je prístup iba k aplikácii alebo prístup s minimálnymi oprávneniami lepšou odpoveďou?
Typické scenáre založené na pobočkách, dodávateľoch a úlohách
Toto je často najčistejší model a ten, ktorý mnohé prostredia prehliadajú. Ak zamestnanec pobočky potrebuje len obrazovku ERP, plánovací systém, účtovný nástroj alebo inú publikovanú aplikáciu pre Windows, široký vzdialený prístup je často zbytočný. Správna odpoveď nie je „viac siete“. Je to „menej prístupu, dodané lepšie.“
Prečo obmedzený prístup znižuje riziko
Toto je miesto, kde sa ďalší produkt v našej sade stáva veľmi relevantným. TSplus Remote Access podporuje bezpečný webový portál a publikovanie aplikácií, čo umožňuje používateľom dosiahnuť kontrolovaný zážitok z aplikácie alebo pracovnej plochy bez otvorenia širšieho prostredia. Bez ohľadu na samotný nástroj na dodávanie je prístup iba k aplikáciám správnou voľbou dizajnu pre túto situáciu.
Bezpečnostné priority pre zverejnený a obmedzený prístup
TSplus Advanced Security zostáva kľúčové, pretože aj užší model prístupu stále potrebuje ochranu. Aplikačné servery orientované na verejnosť a webové prístupové cesty sú stále cieľom útokov. Prečítajte si náš článok o zabezpečených webových bránach pre viac informácií o ochrane proti hrubej sile a geografickom filtrovaní IP. Tieto sú obzvlášť dôležité pre vystavené služby RDP a webové portály a sú presne tým druhom zabezpečenia, ktoré orientovaná na pobočky dodávka aplikácií potrebuje.
Prístup s minimálnymi oprávneniami je tiež správny model pre dodávateľov, dodávateľov a dočasných partnerov. Ak tretia strana potrebuje jeden interný nástroj, jedno rozhranie na údržbu alebo jeden časovo obmedzený pracovný tok, poskytnutie širšieho prístupu ako to nie je pohodlné. Je to nadmerné vystavenie.
Ako si môžete vybrať najbezpečnejší model pre každé vzdialené miesto?
Praktický rozhodovací rámec začína štyrmi otázkami.
Najprv, čo musí byť dosiahnuté?
Ak je odpoveď „zdieľaná infraštruktúra stránok a viacero interných systémov“, môže byť odôvodnené prepojenie medzi sieťami. Ak je odpoveď „niekoľko interných zdrojov pre vybraných používateľov“, prístup používateľa do siete je bližší. Ak je odpoveď „správa a údržba servera“, ide o problém s prístupom administrátora. Ak je odpoveď „jedna aplikácia alebo jedna úloha“, prístup iba k aplikácii alebo prístup s minimálnymi oprávneniami by mal viesť návrh.
Druhá otázka, kto potrebuje prístup?
Celá pobočka, malá skupina používateľov, IT tím a externý dodávateľ by nemali zdediť rovnaký model dôvery.
Tretí, aké množstvo vystavenia je prijateľné?
Čím širší je dosah, tým silnejšie musia byť kompenzačné kontroly. Bezpečnostné postavenie TSplus neustále uprednostňuje zníženú expozíciu, silnejšiu identitu, presadzovanie politík a monitorovanie pred širokým predvoleným dôverovaním.
Štvrté, akú podporu môže prostredie skutočne uniesť?
Malé IT tímy a MSP potrebujú návrhy, ktoré sú bezpečné, ale spravovateľné. To je jeden z dôvodov, prečo TSplus umiestňuje Advanced Security okolo praktickej ochrany bez zbytočnej zložitosti.
Kde sa najlepšie hodí TSplus Advanced Security?
Chránenie vystavených prístupových ciest
TSplus Advanced Security je kľúčový pre zabezpečenie akéhokoľvek modelu vzdialeného prístupu, ktorý si vyberiete, so svojimi funkciami:
Ochrana IP hackerov,
Geografická ochrana,
Ochrana proti hrubej sile
Obmedziť pracovné hodiny,
Firewall,
Upozornenia,
Správy,
Ochrana pred ransomwarom,
Oprávnenia,
Bezpečné relácie
a dôveryhodné zariadenia.
Vynucovanie politiky pomocou geografických, IP a relácií kontrol
Tento nástroj 360 je navrhnutý na ochranu distribuovaných prostredí založených na Windows s vystavenými cestami pre vzdialený prístup. Jeho dokumentácia na rýchly štart umiestňuje ochranu pred ransomvérom, ochranu pred brutálnym útokom a geografickú ochranu do centra počiatočného nastavenia, čo odráža praktické zameranie produktu na zabezpečenie. Pre pobočky a sekundárne lokality je táto kombinácia užitočná, pretože hlavné riziká sú často opakované útoky na prihlásenie, príliš široký prístup zo zdroja, zneužívanie relácií a obchodný dopad ransomvéru, ktorý sa šíri cez dostupné systémy.
Posilnenie distribuovaných prostredí proti ransomvéru a zneužitiu
Ochrana pred ransomvérom je obzvlášť relevantná v distribuovaných prostrediach. Detekuje, blokuje a zabraňuje ransomvérom, pričom využíva statickú aj behaviorálnu analýzu, a môže reagovať hneď, ako detekuje ransomvér v relácii. To je cenné, keď sa kompromitovaný koncový bod, vzdialený používateľ alebo pracovný tok pobočky stáva pivotným bodom do centrálnych systémov.
Príklady vzdialených lokalít v reálnom svete
[A] A maloobchodná pobočka často vyhovuje modelu iba aplikácie. Zamestnanci zvyčajne potrebujú obmedzenú sadu nástrojov pre podnikanie, nie široký dosah siete. Bezpečnejší dizajn je často publikovaný prístup plus zosilnené vstupné body.
[A] A sklad alebo priemyselný areál je pravdepodobnejšie, že ospravedlní široké pripojenie, pretože miestne zariadenia a centrálné systémy potrebujú neustálu koordináciu. Aj vtedy by mal byť administrátorský prístup oddelený a prísne kontrolovaný.
[A] A satelitná zdravotná kancelária zvyčajne potrebuje silnejšie obmedzenia. Rôzne úlohy potrebujú rôzne systémy a široký prístup môže vytvoriť problémy so zabezpečením a dodržiavaním predpisov. Prístup na úrovni používateľa alebo aplikácie je často lepším východiskovým bodom ako všeobecná konektivita.
An stránka zákazníka spravovaná MSP je zvyčajne problém s prístupom administrátora/servera. Poskytovateľ potrebuje bezpečnú, auditovateľnú podporu, nie otvorenú širokú dôveru do celého zákazníckeho prostredia.
Na záver: Začnite s rozsahom prístupu, potom ho správne zabezpečte.
Pripojenie k vzdialenému miestu nie je jeden problém s jednou odpoveďou. Niektoré miesta potrebujú široké pripojenie. Niektoré potrebujú prístup pre vybraných používateľov. Niektoré potrebujú privilegované administrátorské cesty. Niektoré potrebujú iba jednu publikovanú aplikáciu alebo úzko zameraný pracovný tok.
Preto je najlepšou otázkou na zabezpečený dizajn nie „Ktorý zabezpečený protokol na vzdialený prístup znie najsilnejšie?“ ale „Aký je najmenší praktický model prístupu, ktorý stále umožňuje tomuto vzdialenému miestu fungovať?“ Keď je to zodpovedané, bezpečnosť sa stáva jasnejšou a jednoduchšou na dodržiavanie.
TSplus Advanced Security dobre zapadá do tejto stratégie. Nežiada vás, aby ste rovnako dôverovali každému vzdialenému miestu. Pomáha vám posilniť zvolenú cestu relevantnými, vhodnými a dobre zameranými ochranami pre distribuované prostredia, ktoré sú pre vašu využiteľnosť najdôležitejšie.
Často kladené otázky
1. Aký je najlepší spôsob zabezpečenia vzdialených pripojení pre vzdialenú lokalitu?
Najlepší spôsob je prispôsobiť model prístupu skutočnej potrebe. Niektoré vzdialené lokality potrebujú široké pripojenie, ale mnohé potrebujú iba prístup na úrovni používateľa, na úrovni administrátora alebo iba prístup k aplikáciám. Bezpečnosť sa zlepšuje, keď sa rozsah prístupu zúži pred pridaním kontrol.
2. Potrebuje každá pobočka plnú konektivitu medzi sieťami?
Nie. Mnohé pobočky potrebujú len niekoľko interných aplikácií alebo kontrolovanú administrátorskú cestu. Rozšírenie širokej dôvery na celú stránku by zvýšilo riziko a zložitosti bez zlepšenia výsledku pre používateľa.
3. Kedy je prístup používateľa k sieti lepší ako plná konektivita na celom webe?
Je lepšie, keď vybraní používatelia potrebujú niekoľko interných zdrojov, ale samotná stránka nemusí fungovať ako plné rozšírenie siete. To udržuje dôveru viac spätú s identitou a politikou.
4. Kedy je prístup iba cez aplikáciu lepšou voľbou?
Prístup iba cez aplikáciu je často najlepší, keď používatelia potrebujú jednu alebo niekoľko obchodných aplikácií, skôr než široké pokrytie siete. Znižuje nadmerné vystavenie a lepšie sa zhoduje s návrhom s minimálnymi oprávneniami.
5. Ako pomáha TSplus Advanced Security chrániť prístup na vzdialené stránky?
TSplus Advanced Security pridáva ovládacie prvky ako Geografická ochrana, Ochrana proti hrubej sile, Firewall, Oprávnenia, Zabezpečené relácie, Dôveryhodné zariadenia a Ochrana proti ransomwaru, aby pomohla zabezpečiť vzdialené prístupové cesty a distribuované prostredia Windows.
)
)
)
