)
)
Secure remote site connectivity begins with the real access requirement of each branch, warehouse, clinic, retail outlet, farm, industrial site or managed customer location. Here we centre it around four practical needs: network-to-network connectivity, user-to-network access, admin/server access, and app-only or least-privilege access.
Ang pagbabagong ito ay nagbabago sa saklaw ng ligtas na remote access protocol para sa mga sitwasyong sangay tungo sa isang pinagkukunan ng mga praktikal na solusyon na maaari mong muling gamitin. Inilalapat din namin ito sa ilang tiyak na kaso. Tatapusin namin sa pagpapakita ng mga tungkulin ng TSplus Advanced Security sa pagprotekta sa mga distributed remote access environments.
Bakit madalas nagkakamali ang mga desisyon sa secure remote site connectivity?
Nagsisimula sa teknolohiya sa halip na saklaw ng access
Maraming proyekto sa remote access ang nagsisimula sa isang pamilyar na tool sa halip na isang tiyak na kaso ng paggamit. Isang pangalawang opisina ang nagbubukas, isang bagong bodega ang nagsisimula, o isang MSP ang nag-aangkop ng isang site ng customer, at ang unang reaksyon ay kadalasang palawakin ang malawak na koneksyon. Maaaring gumana ang pamamaraang iyon, ngunit maaari rin itong magbigay sa isang remote site ng higit na abot kaysa sa talagang kailangan nito.
Bakit hindi katumbas ng isang "remote site" ang isang "access model"?
Iyan ay isang pagkakamali sa disenyo. Ang lahat ng mga remote site ay hindi isang solong teknikal na kategorya. Ang isang site ay nangangailangan ng ibinahaging imprastruktura at patuloy na koneksyon sa linya ng negosyo. Ang isa ay nangangailangan lamang ng ilang mga gumagamit upang maabot ang mga panloob na mapagkukunan. Ang isa ay pangunahing nangangailangan ng pamamahala ng IT. Ang isa ay nangangailangan ng isang na-publish na aplikasyon at wala nang iba. Ang pagtrato sa lahat ng apat na kaso sa parehong paraan ay lumilikha ng hindi kinakailangang tiwala, higit pang exposure at higit pang seguridad na overhead.
Ang patnubay ng NIST sa remote access ay nagpapahayag ng parehong punto sa mas pormal na mga termino: ang remote access ay dapat idisenyo upang mapanatili ang seguridad habang nililimitahan ang hindi kinakailangang pagkakalantad. Sa ibang salita, ang tamang unang tanong ay hindi "Aling paraan ng koneksyon ang alam na natin?" kundi "Ano ang tiyak na dapat maabot ng site na ito, gumagamit o admin?"
Alin ang 4 na secure na modelo ng remote connectivity na pinakamahalaga?
Para sa karamihan ng mga kapaligiran ng branch-office at secondary-site, ang remote connectivity ay nahahati sa apat na praktikal na modelo.
Konektibidad mula sa network patungo sa network
Ang una ay access mula sa network patungo sa network . Ito ang tamang mental na modelo kapag ang malalayong site mismo ay kailangang kumilos na parang bahagi ng mas malawak na organisasyon. Ang lokal na imprastruktura, mga sistema ng site, mga ibinahaging mapagkukunan at mga sentral na serbisyo ay dapat lahat na magtulungan nang pare-pareho.
Access ng user sa network
Ang pangalawa ay sumasaklaw mga koneksyon ng user sa network Dito, ang site ay hindi nangangailangan ng malawak na extension, ngunit ang ilang tao ay nangangailangan nito. Maaaring kailanganin ng mga tauhan ang ilang panloob na mapagkukunan mula sa isang remote na opisina, isang workspace sa bahay na nakakabit sa isang branch workflow, o habang lumilipat-lipat sa mga lokasyon.
Admin/server access
Ang ikatlong pag-access admin/server na pasilidad Ito ay para sa mga operasyon ng IT. Ang pangunahing kinakailangan ay kontroladong pagpapanatili, suporta, pagsasaayos ng problema at pamamahala ng server, hindi malawak na abot ng end-user.
Access na tanging app o pinakamababang pribilehiyo
Ang ikaapat ay access na app lamang o pinakamababang pribilehiyo Ang modelong ito ay pinakaangkop kapag ang mga gumagamit, kontratista o vendor ay nangangailangan lamang ng isang tiyak na aplikasyon o makitid na tinukoy na mapagkukunan. Ito ay malapit na umaayon sa aming kagustuhan para sa Zero Trust. Sa kabuuan, binibigyang-diin namin ang kahalagahan ng pag-verify sa gumagamit, aparato at sesyon sa halip na magtiwala sa isang landas dahil lamang sa ito ay umiiral.
Use case 1: Kailan talaga kailangan ng isang remote site ng secure na koneksyon mula sa network patungo sa network?
Saan angkop ang modelong ito at saan ito nagiging masyadong malawak
Ang ilang mga site ay talagang nangangailangan ng malawak na koneksyon. Maaaring umasa ang isang bodega sa sentral na ERP habang gumagamit din ng mga lokal na printer, scanner, at mga operational na device. Maaaring kailanganin ng isang retail branch ang ilang mga back-office system na nakatali sa mga sentral na serbisyo. Maaaring umasa ang isang industriyal o agrikultural na site sa mga lokal na asset na dapat manatiling naka-synchronize sa mga pangunahing sistema.
Sa mga kasong iyon, ang malawak na koneksyon sa site ay maaaring ipaliwanag dahil ang site mismo ay bahagi ng operating environment. Ang susi ay kilalanin na ito ang pinakamabigat na modelo ng pag-access. Lumilikha ito ng pinakamalawak na ugnayan ng tiwala, kaya dapat itong it reserve para sa mga kasong ang mas makitid na disenyo ay masisira ang daloy ng trabaho.
Mga prayoridad sa seguridad para sa pinalawak na koneksyon sa site
Ito rin ang lugar kung saan ang disiplina sa seguridad ay pinakamahalaga. Kapag ang isang site ay malawak na nakakonekta, ang segmentation, logging, patakaran sa firewall, at mga paghihigpit sa pag-access ay nagiging mahalaga. Ang TSplus Advanced Security ay may kaugnayan dito hindi dahil ito ang lumilikha ng koneksyon, kundi dahil ito ay tumutulong na protektahan ang mga nakalantad na landas ng pag-access at sensitibong imprastruktura na batay sa Windows sa mga tampok tulad ng Firewall, Proteksyon sa Hacker IP, Proteksyon sa Heograpiya, Proteksyon sa Bruteforce, Secure Sessions at Permissions.
Isang magandang patakaran ay simple: kung ang mga gumagamit sa malalayong site ay talagang nangangailangan lamang ng isa o dalawang aplikasyon, huwag mag-default sa buong tiwala sa site. Karaniwan, labis na disenyo ito para sa napakaliit na pangangailangan.
Gamitin ang kaso 2: Kailan ang ligtas na pag-access ng gumagamit sa network ang tunay na pangangailangan?
Karaniwang mga senaryo ng branch at hybrid na trabaho
Minsan ang sangay o pangalawang lokasyon ay hindi nangangailangan ng malawak na pagpapalawak. Sa halip, isang maliit na bilang ng mga empleyado ang nangangailangan ng access sa maraming panloob na mapagkukunan. Iba iyon na problema. Ito ay remote access sa antas ng gumagamit, hindi remote access sa antas ng site.
Ang modelong ito ay karaniwan sa mga hybrid na operasyon. Maaaring kailanganin ng isang regional manager, finance lead o maliit na pangkat ng administratibo ang ilang panloob na tool mula sa isang satellite office. Ang tamang disenyo dito ay hinuhubog ng indibidwal na pagkakakilanlan, aparato, sesyon at patakaran, hindi sa pamamagitan ng pagtrato sa buong site bilang isang pinagkakatiwalaang extension.
Kung saan ang user-specific ay mas angkop kaysa sa site-wide extension
Mahalaga ang pagkakaibang iyon dahil ang pag-access ng user sa network ay maaari pa ring maging masyadong malawak. Kung ang isang user ay talagang nangangailangan lamang ng isang app, ang pagbibigay ng malawak na internal access ay nagdadala ng panganib nang hindi nagdadagdag ng halaga. Kami ay matibay na tagapagtaguyod ng pagbabawas ng exposure at paglalapat ng pinakamababang pribilehiyo kung posible, lalo na para sa SMB at mga distributed na kapaligiran.
Mga prayoridad sa seguridad para sa remote access sa antas ng gumagamit
TSplus Advanced Security ay sumusuporta sa modelong ito sa pamamagitan ng pagdaragdag ng mga kontrol kung sino ang maaaring kumonekta, mula saan at sa ilalim ng anong mga kondisyon. Ang Geographic Protection ay maaaring maglimita ng access sa mga pribado at whitelisted na IP address o mga napiling rehiyon. Ang Bruteforce Protection ay maaaring awtomatikong ilagay sa blacklist ang mga nagkasalang IPs pagkatapos ng paulit-ulit na nabigong pag-login. Nakakatulong ito na gawing mas kontrolado ang isang malawak na problema ng “remote user” sa isang landas ng access na pinapatakbo ng patakaran.
Gamitin ang kaso 3: Kailan kinakailangan ang secure na admin o server access?
Karaniwang mga senaryo ng IT at MSP
Isang malaking bahagi ng tinatawag na mga proyekto sa koneksyon ng remote site ay talagang mga proyekto sa pamamahala ng IT. Kailangan ng isang MSP na panatilihin ang isang client server. Kailangan ng isang panloob na admin na i-patch ang isang remote host. Kailangan ng isang technician sa helpdesk na ayusin ang isang kapaligiran ng sesyon ng Windows. Wala sa mga iyon ang nangangailangan ng pagbibigay sa mga ordinaryong gumagamit o sa buong site ng parehong antas ng access.
Bakit dapat manatiling hiwalay ang access ng admin mula sa karaniwang access ng gumagamit
Dapat ituring ang admin access bilang sarili nitong kategorya dahil ito ay may pribilehiyo sa kalikasan. Ang pinakaligtas na disenyo ay karaniwang ang isa na pinapanatiling hiwalay ang admin traffic mula sa karaniwang daloy ng trabaho ng mga gumagamit, nililimitahan kung saan maaaring kumonekta ang mga admin, at pinatitibay ang daan ng pagpasok nang mas agresibo kaysa sa karaniwang channel ng gumagamit.
Mahirap na dinisenyong mga tampok sa seguridad para sa pinakamainam na proteksyon
Ito ay isa sa pinakamalakas na tawag para sa aming Advanced Security software at mga tampok nito. Ang Bruteforce Protection ng produkto ay tahasang dinisenyo upang subaybayan ang mga nabigong pagtatangkang mag-login sa Windows at i-blacklist ang mga umaatake na IP. Ang Firewall, Permissions, Secure Sessions at mga ulat nito ay direktang kapaki-pakinabang kapag ang target ay isang pampublikong maaabot na Windows server o landas ng remote administration.
Mga prayoridad sa seguridad para sa pribilehiyadong remote access
Ito rin ang lugar kung saan hindi lahat ng tampok ng aming produkto ay naaangkop sa parehong paraan. Halimbawa, ang Trusted Devices ay gumagana sa mga koneksyon mula sa TSplus Remote Access Web Portal. Sa katunayan, makikita mo sa aming dokumentasyon na ang Web Portal ay hindi tugma sa mga sesyon ng HTML5 o mga device na iOS at Android na nagtatago ng mga hostname. Mahalaga ito kapag nagpaplano ng pagpapatupad ng tiwala sa device para sa mga workflow ng admin.
Naghahanap ka ba ng solusyon sa RDP o pinapangalagaan ang mga entry point ng admin sa mga sangay at pangalawang site? Alam mo ba? Tanungin mo kami at sabay tayong mag-iskedyul ng isang guided demo ng TSplus Advanced Security.
Use case 4: Kailan mas mainam ang app-only o least-privilege access?
Karaniwang mga senaryo ng sangay, nagbebenta at nakabatay sa gawain
Ito ay kadalasang ang pinakamalinis na modelo at ang isa na madalas na hindi napapansin ng maraming kapaligiran. Kung ang isang empleyado sa sangay ay nangangailangan lamang ng isang ERP screen, isang sistema ng pag-schedule, isang tool sa accounting, o isa pang inilathalang aplikasyon ng Windows, ang malawak na remote access ay kadalasang hindi kinakailangan. Ang tamang sagot ay hindi "mas maraming network." Ito ay "mas kaunting access, na naihatid nang mas mabuti."
Bakit ang nakatalang access ay nagpapababa ng panganib
Ito ang lugar kung saan nagiging napakahalaga ang isa pang produkto sa aming suite. Sinusuportahan ng TSplus Remote Access ang isang secure na Web Portal at pag-publish ng aplikasyon, na maaaring payagan ang mga gumagamit na maabot ang isang kontroladong karanasan sa aplikasyon o desktop nang hindi binubuksan ang mas malawak na kapaligiran. Anuman ang tool sa paghahatid mismo, ang access na nakatuon lamang sa aplikasyon ang tamang pagpipilian sa disenyo para sa senaryong ito.
Mga prayoridad sa seguridad para sa nai-publish at limitadong access
Ang TSplus Advanced Security ay nananatiling sentro dahil kahit na ang mas makitid na modelo ng pag-access ay nangangailangan pa rin ng proteksyon. Ang mga server ng aplikasyon na nakaharap sa publiko at mga landas ng web access ay nananatiling mga ibabaw ng atake. Basahin ang aming artikulo tungkol sa secure web gateway para sa higit pang impormasyon sa proteksyon laban sa brute-force at geographic IP filtering. Sila ay lalong mahalaga para sa mga exposed na RDP at web portal services at eksaktong uri ng pag-harden na kailangan ng application delivery na nakatuon sa branch.
Ang access na may pinakamababang pribilehiyo ay ang tamang modelo para sa mga vendor, kontratista, at pansamantalang kasosyo. Kung ang isang third party ay nangangailangan ng isang panloob na tool, isang interface ng pagpapanatili, o isang limitadong workflow, ang pagbibigay sa kanila ng mas malawak na access kaysa doon ay hindi kaginhawahan. Ito ay labis na pagkakalantad.
Paano mo maipipili ang pinaka-secure na modelo para sa bawat remote na site?
Isang praktikal na balangkas ng desisyon ay nagsisimula sa apat na tanong.
Una, ano ang dapat maabot?
Kung ang sagot ay "shared site infrastructure at maraming panloob na sistema," maaaring makatwiran ang koneksyon mula sa network patungo sa network. Kung ang sagot ay "ilang panloob na mapagkukunan para sa mga napiling gumagamit," mas malapit ang access mula sa gumagamit patungo sa network. Kung ang sagot ay "pamamahala at pagpapanatili ng server," ito ay isang problema sa access ng admin. Kung ang sagot ay "isang app o isang gawain," dapat pangunahan ng access na app lamang o least-privilege ang disenyo.
Pangalawa, sino ang nangangailangan ng access?
Isang buong sangay ng opisina, isang maliit na grupo ng mga gumagamit, isang IT na koponan, at isang panlabas na vendor ay hindi dapat magmana ng parehong modelo ng tiwala.
Pangatlo, gaano karaming exposure ang katanggap-tanggap?
Mas malawak ang abot, mas dapat maging matatag ang mga kontrol na pampalit. Ang sariling posisyon ng seguridad ng TSplus ay palaging pabor sa nabawasang pagkakalantad, mas matatag na pagkakakilanlan, pagpapatupad ng patakaran, at pagmamanman sa halip na malawak na default na tiwala.
Pang-apat, anong pasanin sa suporta ang kayang tiisin ng kapaligiran?
Kailangan ng maliliit na IT team at MSPs ng mga disenyo na ligtas ngunit madaling pamahalaan. Isa iyon sa mga dahilan kung bakit inilalagay ng TSplus ang Advanced Security sa paligid ng praktikal na proteksyon nang walang hindi kinakailangang kumplikado.
Saan pinaka-angkop ang TSplus Advanced Security?
Pagtatanggol sa mga nakalantad na daan ng pag-access
Ang TSplus Advanced Security ay pangunahing tumutulong sa pag-secure ng alinmang modelo ng remote site na iyong pinili gamit ang mga tampok nito:
Proteksyon ng IP ng Hacker,
Proteksyon sa Heograpiya
Proteksyon laban sa Bruteforce
Limitahan ang Oras ng Trabaho,
Firewall,
Mga Babala,
Ulat,
Proteksyon laban sa Ransomware
Mga Pahintulot,
Secure Sessions
at mga Nagtitiwala na Device.
Pagpapatupad ng patakaran gamit ang geo, IP, at mga kontrol ng sesyon
Ang tool na ito na 360 ay itinayo upang protektahan ang mga distributed na Windows-based na kapaligiran na may mga nakalantad na remote access paths. Ang mabilis na dokumentasyon nito ay naglalagay ng Ransomware Protection, Bruteforce Protection at Geographic Protection sa sentro ng paunang setup, na sumasalamin sa praktikal na pagtutok ng produkto sa pagpapalakas. Para sa mga sangay at pangalawang site, ang kumbinasyong iyon ay kapaki-pakinabang dahil ang mga pangunahing panganib ay madalas na inuulit na mga pag-atake sa pag-login, labis na malawak na access ng pinagmulan, maling paggamit ng sesyon at ang epekto sa negosyo ng ransomware na kumakalat sa mga maaabot na sistema.
Pagtatanggol sa mga distributed na kapaligiran laban sa ransomware at maling paggamit
Ang Ransomware Protection ay partikular na mahalaga sa mga distributed na kapaligiran. Ito ay tumutukoy, humaharang at pumipigil sa ransomware, gamit ang parehong static at behavioral na pagsusuri, at maaaring tumugon sa sandaling matukoy nito ang ransomware sa isang sesyon. Ito ay mahalaga kapag ang isang compromised na endpoint, remote na gumagamit o branch workflow ay nagiging isang pivot point sa mga sentral na sistema.
Tunay na mga halimbawa ng remote na site
[A] - Isalin sangay ng tingi madalas na umaangkop sa modelo ng app lamang. Kadalasang kailangan ng mga tauhan ang limitadong hanay ng mga tool sa linya ng negosyo, hindi malawak na saklaw ng network. Ang mas ligtas na disenyo ay madalas na nai-publish na access kasama ang pinatibay na mga entry point.
[A] - Isalin bodega o pang-industriyang lugar mas malamang na magjustify ng malawak na koneksyon dahil ang mga lokal na aparato at mga sentral na sistema ay nangangailangan ng tuloy-tuloy na koordinasyon. Kahit na ganoon, ang access ng admin ay dapat manatiling hiwalay at mahigpit na kontrolado.
[A] - Isalin satellite healthcare office karaniwang nangangailangan ng mas malakas na saklaw. Iba't ibang mga papel ang nangangailangan ng iba't ibang mga sistema, at ang malawak na pag-access ay maaaring lumikha ng parehong mga problema sa seguridad at pagsunod. Ang pag-access sa antas ng gumagamit o antas ng app ay kadalasang mas magandang panimulang punto kaysa sa pangkalahatang koneksyon.
Isang site ng customer na pinamamahalaan ng MSP karaniwang isang problema sa pag-access ng admin/server muna. Kailangan ng provider ng isang secure, ma-audit na landas ng suporta, hindi isang bukas na tiwala sa buong kapaligiran ng customer.
Upang tapusin: Magsimula sa saklaw ng pag-access, pagkatapos ay tiyakin itong maayos.
Ang koneksyon sa remote site ay hindi isang problema na may isang sagot. Ang ilang mga site ay nangangailangan ng malawak na koneksyon. Ang ilan ay nangangailangan ng access para sa mga napiling gumagamit. Ang ilan ay nangangailangan ng mga pribilehiyadong landas ng admin. Ang ilan ay nangangailangan lamang ng isang na-publish na aplikasyon o isang mahigpit na nakatakdang daloy ng trabaho.
Kaya't ang pinakamahusay na tanong sa disenyo ng seguridad ay hindi "Alin sa mga secure na protocol ng remote access ang pinakamalakas?" kundi "Ano ang pinakamaliit na praktikal na modelo ng access na nagpapahintulot pa ring gumana ang remote site na ito?" Kapag nasagot na iyon, nagiging mas malinaw at mas madali ang seguridad na mapanatili.
Ang TSplus Advanced Security ay akma sa estratehiyang ito. Hindi nito hinihingi na pagkatiwalaan mo ang bawat remote na site nang pantay-pantay. Tinutulungan ka nitong patatagin ang napiling landas gamit ang mga kaugnay, angkop, at maayos na nakatuon na mga proteksyon para sa mga distributed na kapaligiran na pinakamahalaga para sa iyong paggamit.
FAQs
1. Ano ang pinakamainam na paraan upang masiguro ang mga remote na koneksyon para sa isang malalayong site?
Ang pinakamahusay na paraan ay itugma ang modelo ng pag-access sa tunay na pangangailangan. Ang ilang mga remote na site ay nangangailangan ng malawak na koneksyon, ngunit marami lamang ang nangangailangan ng access sa antas ng gumagamit, antas ng admin o access na para sa app lamang. Ang seguridad ay bumubuti kapag ang saklaw ng pag-access ay nabawasan bago idagdag ang mga kontrol.
2. Kailangan ba ng bawat sangay ng opisina ng buong koneksyon mula sa network patungo sa network?
Hindi. Maraming sangay ang nangangailangan lamang ng ilang panloob na aplikasyon o isang kontroladong landas ng admin. Ang pagpapalawak ng malawak na tiwala sa buong site ay magpapataas ng panganib at kumplikado nang hindi pinapabuti ang resulta ng gumagamit.
3. Kailan mas mainam ang user-to-network access kaysa sa buong site-wide connectivity?
Mas mabuti kapag ang mga napiling gumagamit ay nangangailangan ng ilang panloob na mapagkukunan ngunit ang site mismo ay hindi kailangang gumana bilang isang buong extension ng network. Pinapanatili nitong mas malapit ang tiwala sa pagkakakilanlan at patakaran.
4. Kailan mas magandang piliin ang access na para sa app lamang?
Ang access na tanging sa app ay kadalasang pinakamahusay kapag ang mga gumagamit ay nangangailangan ng isa o ilang mga aplikasyon sa negosyo sa halip na malawak na saklaw ng network. Binabawasan nito ang labis na pagkakalantad at mas mahusay na umaayon sa disenyo ng pinakamababang pribilehiyo.
5. Paano nakatutulong ang TSplus Advanced Security sa pagprotekta ng access sa remote site?
TSplus Advanced Security ay nagdadagdag ng mga kontrol tulad ng Geographic Protection, Bruteforce Protection, Firewall, Permissions, Secure Sessions, Trusted Devices at Ransomware Protection upang makatulong na patatagin ang mga daan ng remote access at mga distributed Windows environment.
)
)
)
