TSplus Advanced Security Logo

Bạn có muốn xem trang web bằng một ngôn ngữ khác không?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Thay đổi ngôn ngữ
Mục lục

Giới thiệu

Truy cập trình duyệt an toàn vào các ứng dụng riêng tư cho phép nhân viên, nhà thầu và đối tác tiếp cận các ứng dụng kinh doanh từ bất kỳ đâu mà không cần mở toàn bộ mạng. Đối với các nhóm CNTT SMB, thách thức là cân bằng giữa sự tiện lợi và bảo vệ. Bài viết này giải thích cách giảm thiểu rủi ro truy cập từ xa thông qua quyền hạn tối thiểu, xác thực mạnh mẽ và các quy tắc kết nối được kiểm soát.

Truy cập trình duyệt an toàn đến các ứng dụng riêng tư là gì?

Truy cập trình duyệt an toàn vào các ứng dụng riêng tư cho phép người dùng được ủy quyền mở các ứng dụng kinh doanh nội bộ thông qua trình duyệt web. Thay vì kết nối với toàn bộ mạng thông qua một mạng riêng ảo, hoặc VPN, người dùng chỉ truy cập vào các ứng dụng được chỉ định cho họ.

Một ứng dụng riêng có thể là hệ thống lập kế hoạch nguồn lực doanh nghiệp, phần mềm kế toán, cơ sở dữ liệu khách hàng, cổng thông tin nội bộ, bảng điều khiển quản trị, ứng dụng Windows cũ hoặc Giao thức Máy tính từ xa RDP, ứng dụng. Ứng dụng là riêng tư vì nó không nên có sẵn trực tiếp trên Internet công cộng.

Nguyên tắc bảo mật rất đơn giản: quyền truy cập trình duyệt nên cung cấp ứng dụng, không phải toàn bộ mạng. Điều này hỗ trợ nguyên tắc quyền tối thiểu, nơi người dùng nhận quyền truy cập cần thiết cho vai trò của họ và không hơn.

Truy cập trình duyệt an toàn cũng phải bảo vệ những gì nằm sau trang đăng nhập. Các phiên Windows, tệp, thông tin xác thực và ứng dụng kinh doanh vẫn là những mục tiêu quý giá, vì vậy môi trường máy chủ cần các biện pháp bảo mật vượt ra ngoài xác thực đơn giản.

Tại sao quyền truy cập chỉ qua VPN có thể tạo ra rủi ro không cần thiết?

VPN vẫn hữu ích cho các quản trị viên và người dùng kỹ thuật cần truy cập mạng ở cấp độ rộng. Một VPN tạo ra một đường hầm mã hóa vào một mạng riêng và có thể hiệu quả khi được cấu hình đúng cách.

Tuy nhiên, việc chỉ sử dụng VPN có thể là quá mức khi một người dùng cần một ứng dụng hoặc một nhóm nhỏ các tài nguyên kinh doanh. Trong trường hợp đó, VPN có thể tăng cường khả năng hiển thị mạng, công việc hỗ trợ điểm cuối và tác động có thể của một tài khoản bị xâm phạm.

NIST SP 800-46 Rev. 2 giải thích rằng các chương trình bảo mật truy cập từ xa nên tính đến làm việc từ xa, truy cập từ xa và các tình huống mang thiết bị của riêng bạn, bao gồm chính sách bảo mật và các biện pháp kiểm soát công nghệ. Điều này quan trọng vì việc truy cập ứng dụng riêng tư thường liên quan đến người dùng bên ngoài, thiết bị không được quản lý và các kết nối từ các mạng bên ngoài sự kiểm soát của tổ chức.

Đối với các doanh nghiệp nhỏ và vừa, độ phức tạp của VPN có thể trở thành một vấn đề vận hành hàng ngày. Các nhà thầu có thể cần quyền truy cập tạm thời. Người dùng có thể làm việc từ các thiết bị cá nhân. Các nhóm CNTT có thể dành quá nhiều thời gian để quản lý khách hàng thay vì giảm thiểu rủi ro.

Truy cập trình duyệt an toàn vào các ứng dụng riêng tư cung cấp một mô hình tập trung hơn. Tổ chức phát hành các ứng dụng cụ thể, kiểm soát ai có thể kết nối và bảo vệ hạ tầng nơi các ứng dụng đó hoạt động.

Những gì làm cho Truy cập Trình duyệt an toàn?

Truy cập trình duyệt không tự động an toàn. Một cổng web, trang đăng nhập hoặc ứng dụng đã công bố vẫn có thể bị tấn công nếu nó bị lộ mà không có các biện pháp kiểm soát mạnh mẽ.

Truy cập trình duyệt an toàn phụ thuộc vào ba lớp: danh tính, phạm vi ứng dụng và bảo vệ hạ tầng. Mỗi lớp giảm thiểu một phần khác nhau của rủi ro truy cập từ xa.

Danh tính và xác thực

Các biện pháp kiểm soát danh tính quyết định ai được phép kết nối. Các tổ chức nên sử dụng chính sách mật khẩu mạnh, xác thực đa yếu tố hoặc MFA, và quy tắc khóa tài khoản cho các điểm truy cập bị lộ.

Đối với các môi trường dựa trên RDP, Xác thực Cấp Mạng, hay NLA, cũng rất quan trọng. NLA xác thực người dùng trước khi một phiên RDP đầy đủ được thiết lập, điều này giúp giảm thiểu sự tiếp xúc không cần thiết của tài nguyên máy chủ.

Kiểm soát truy cập ở cấp độ ứng dụng

Kiểm soát truy cập ở cấp độ ứng dụng xác định những gì mỗi người dùng có thể truy cập sau khi xác thực. Đây là sự khác biệt giữa "người dùng có thể mở ứng dụng kế toán" và "người dùng có thể duyệt máy chủ."

Truy cập trình duyệt an toàn nên phân quyền ứng dụng theo người dùng hoặc nhóm. Các đội tài chính, kế toán viên bên ngoài, nhà thầu và quản trị viên không nên nhận quyền truy cập giống nhau theo mặc định. Điều này hỗ trợ một cách thực tiễn Zero Trust cho truy cập từ xa SMB mô hình, nơi mọi người dùng, thiết bị và phiên làm việc đều được xác minh trước khi cho phép truy cập.

Bảo vệ máy chủ và dữ liệu

Truy cập trình duyệt an toàn do đó nên bao gồm bảo mật tiên tiến các điều khiển như bảo vệ chống tấn công brute-force, lọc địa lý, hạn chế giờ làm việc, kiểm soát quyền, bảo vệ chống ransomware, cảnh báo và nhật ký bảo mật. Nếu không có những lớp này, trình duyệt chỉ đơn giản trở thành một bề mặt truy cập từ xa khác bị lộ.

Truy cập trình duyệt an toàn do đó nên bao gồm bảo vệ chống tấn công brute-force, lọc địa lý, hạn chế giờ làm việc, kiểm soát quyền, bảo vệ ransomware, cảnh báo và nhật ký bảo mật. Nếu không có những lớp này, trình duyệt chỉ đơn giản trở thành một bề mặt truy cập từ xa khác bị lộ.

Các Thực Hành Tốt Nhất Để Truy Cập Ứng Dụng Riêng Tư Một Cách An Toàn Qua Trình Duyệt Là Gì?

Một chiến lược truy cập trình duyệt an toàn nên giảm thiểu sự tiếp xúc trước, trong và sau mỗi kết nối. Các thực hành sau đây giúp các nhóm CNTT bảo vệ các ứng dụng riêng tư mà không tạo ra sự phức tạp không cần thiết.

Chỉ công bố các ứng dụng mà người dùng cần

Việc xuất bản ứng dụng nên bắt đầu với việc ánh xạ vai trò. Mỗi người dùng hoặc nhóm nên nhận quyền truy cập chỉ vào các ứng dụng cần thiết cho công việc hàng ngày.

Ví dụ, một kế toán viên bên ngoài có thể cần một ứng dụng kế toán nhưng không cần một máy tính để bàn đầy đủ. Một nhà thầu hỗ trợ có thể cần một bảng điều khiển quản trị nhưng không cần quyền truy cập vào máy chủ tệp.

Việc xác định phạm vi này giảm thiểu thiệt hại tiềm tàng từ việc đánh cắp thông tin đăng nhập hoặc lạm dụng phiên. Ngay cả khi một tài khoản bị xâm phạm, kẻ tấn công có ít hệ thống hơn để tiếp cận.

Tránh việc lộ RDP và các dịch vụ từ xa trực tiếp

Dịch vụ từ xa được công khai trực tiếp thu hút các công cụ quét, công cụ tấn công brute-force và tấn công thông tin xác thực. RDP không nên để mở trên Internet mà không có sự bảo vệ bổ sung.

Microsoft Learn mô tả Cổng Remote Desktop, hay RD Gateway, như một cách để người dùng kết nối với các tài nguyên mạng nội bộ một cách an toàn từ bên ngoài tường lửa của công ty. Mô hình dựa trên cổng này giúp tránh việc truy cập trực tiếp không kiểm soát vào các hệ thống nội bộ.

Ngay cả khi một tổ chức sử dụng cổng web hoặc cổng vào, các quản trị viên vẫn nên giảm số lượng cổng mở, tăng cường xác thực và theo dõi hành vi đăng nhập. Bảo mật truy cập từ xa phụ thuộc vào toàn bộ chuỗi, không chỉ màn hình đăng nhập đầu tiên.

Thực thi MFA, NLA và chính sách mật khẩu mạnh

Mật khẩu đơn thuần không đủ cho việc truy cập từ xa. Mật khẩu được sử dụng lại, lừa đảo và nhồi nhét thông tin đăng nhập khiến các trang đăng nhập bị lộ trở thành mục tiêu phổ biến.

MFA thêm một bước xác minh thứ hai. NLA giúp bảo vệ môi trường RDP bằng cách xác thực người dùng trước khi một phiên làm việc từ xa hoàn toàn được thiết lập. Các quy tắc mật khẩu mạnh và chính sách khóa tài khoản giảm khả năng thành công của việc đoán tự động.

Tài khoản quản trị viên cần kiểm soát chặt chẽ hơn. Quyền truy cập của quản trị viên nên sử dụng MFA, giới hạn vị trí nguồn, thông tin xác thực riêng biệt và giám sát chặt chẽ hơn.

Hạn chế truy cập theo quốc gia, địa chỉ IP và giờ làm việc

Không phải tổ chức nào cũng cần chấp nhận kết nối từ xa từ mọi vị trí. Các hạn chế địa lý và danh sách cho phép IP giảm thiểu sự tiếp xúc không cần thiết.

Ví dụ, một doanh nghiệp nhỏ hoạt động chỉ ở Pháp, Tây Ban Nha và Đức có thể chặn các nỗ lực đăng nhập từ các quốc gia khác. Một nhà cung cấp dịch vụ quản lý có thể giới hạn quyền truy cập của quản trị viên vào các địa chỉ IP văn phòng đáng tin cậy.

Hạn chế giờ làm việc thêm một lớp hữu ích khác. Nếu các nhà thầu làm việc từ thứ Hai đến thứ Sáu, từ 08:00 đến 18:00, các phiên của họ không nên vẫn có sẵn vào lúc 02:00 vào Chủ nhật.

Áp dụng nguyên tắc tối thiểu quyền hạn cho tệp, máy in và tài nguyên hệ thống

Truy cập ứng dụng không tự động có nghĩa là truy cập an toàn. Khi một phiên làm việc mở, người dùng vẫn có thể tương tác với ổ đĩa cục bộ, máy in, khóa registry hoặc thư mục.

Quản trị viên nên xem xét quyền hệ thống tệp, quyền truy cập máy in, hành vi clipboard và cài đặt hệ thống. Một người dùng cần một ứng dụng riêng tư không nên nhận quyền truy cập rộng rãi vào máy chủ.

Quyền hạn tối thiểu giới hạn phạm vi thiệt hại của một tài khoản bị xâm phạm. Nó cũng giảm khả năng lỗi của người dùng hoặc phần mềm độc hại ảnh hưởng đến các tài nguyên không liên quan.

Giám sát các lần đăng nhập thất bại và hành vi ransomware

Các lần đăng nhập không thành công lặp lại có thể chỉ ra hoạt động tấn công brute-force, nhồi nhét thông tin xác thực hoặc các kịch bản cấu hình sai. Việc chặn tự động là hữu ích vì các cuộc tấn công có thể xảy ra nhanh hơn so với khả năng phản ứng thủ công của các quản trị viên. Đối với các đường dẫn truy cập bị lộ, các nhóm CNTT cũng nên xem xét thực tiễn. bảo vệ tấn công brute-force các biện pháp kiểm soát như MFA, hạn chế IP, NLA, TLS và phát hiện theo thời gian thực.

Bảo vệ ransomware cũng thuộc về chiến lược truy cập từ xa. Hướng dẫn về ransomware của CISA tập trung vào việc giảm khả năng và tác động của các sự cố ransomware, điều này có liên quan trực tiếp khi các ứng dụng riêng tư kết nối với các tệp chia sẻ hoặc dữ liệu hoạt động.

Truy cập trình duyệt, truy cập cổng và truy cập RDP đều nên tạo ra các sự kiện mà quản trị viên có thể xem xét. Tính khả thi là rất quan trọng cho phản ứng nhanh và tăng cường bảo mật lâu dài.

Danh sách kiểm tra triển khai cho các doanh nghiệp vừa và nhỏ là gì?

Trước khi công bố các ứng dụng riêng tư qua trình duyệt, các nhóm CNTT nên xác nhận các kiểm soát sau. Danh sách kiểm tra này giúp giảm thiểu rủi ro, giới hạn quyền truy cập của người dùng và bảo vệ các máy chủ Windows phía sau remote access.

Xác định người dùng và quyền truy cập ứng dụng

Bắt đầu bằng cách xác định ai cần truy cập từ xa và tại sao. Tạo các nhóm người dùng cho nhân viên, nhà thầu, quản trị viên và đối tác bên ngoài, sau đó ánh xạ mỗi nhóm đến các ứng dụng cần thiết cho vai trò của họ.

Chỉ công bố các ứng dụng hoặc máy tính để bàn mà mỗi nhóm cần. Tránh việc cung cấp quyền truy cập đầy đủ vào máy tính để bàn cho người dùng khi một ứng dụng kinh doanh là đủ.

Củng cố xác thực

Yêu cầu xác thực đa yếu tố cho người dùng từ xa, người dùng bên ngoài và quản trị viên. MFA giảm thiểu rủi ro rằng một mật khẩu bị đánh cắp hoặc đoán được trở thành một sự xâm phạm thành công.

Khi Giao thức Remote Desktop được sử dụng, hãy bật Xác thực Cấp Mạng. NLA giúp xác thực người dùng trước khi một phiên làm việc từ xa hoàn toàn được thiết lập.

Giảm thiểu sự tiếp xúc với Internet

Tránh việc để RDP tiếp xúc trực tiếp với Internet. Sử dụng các điểm truy cập được kiểm soát, cổng hoặc các mô hình truy cập web an toàn bao gồm xác thực, lọc và giám sát.

Xem xét các cổng và dịch vụ công khai thường xuyên. Loại bỏ quyền truy cập công cộng không còn cần thiết.

Hạn chế quyền truy cập theo ngữ cảnh

Hạn chế truy cập từ xa theo quốc gia, địa chỉ IP đáng tin cậy và giờ làm việc. Những kiểm soát này giúp chặn các kết nối không phù hợp với hoạt động kinh doanh bình thường.

Ví dụ, một nhà thầu làm việc trong giờ hành chính không nên có khả năng kết nối muộn vào ban đêm hoặc từ những khu vực không mong đợi.

Áp dụng nguyên tắc tối thiểu quyền hạn

Xem xét quyền truy cập vào hệ thống tệp, máy in, registry và clipboard. Người dùng chỉ nên có những quyền cần thiết để hoàn thành công việc của họ.

Quyền hạn tối thiểu giới hạn thiệt hại do tài khoản bị xâm phạm, phần mềm độc hại hoặc sai sót của người dùng gây ra.

Bật bảo vệ tự động chống lại mối đe dọa

Bật bảo vệ chống tấn công brute-force và chặn IP tự động. Các lần đăng nhập không thành công liên tiếp nên kích hoạt hành động phòng thủ nhanh chóng mà không cần chờ đợi sự can thiệp thủ công.

Bật bảo vệ ransomware trên các máy chủ lưu trữ ứng dụng và dữ liệu kinh doanh. Bảo mật truy cập từ xa nên bảo vệ cả điểm đăng nhập và môi trường máy chủ phía sau nó.

Đánh giá các sự kiện thường xuyên

Xem xét nhật ký, cảnh báo, địa chỉ IP bị chặn và sự kiện ransomware theo lịch trình thường xuyên. Tính năng hiển thị bảo mật giúp các nhóm CNTT phát hiện hành vi đáng ngờ và cải thiện chính sách truy cập theo thời gian.

Tài liệu thay đổi sau mỗi lần xem xét. Điều này giữ cho các kiểm soát truy cập từ xa phù hợp với người dùng, nhà thầu và nhu cầu kinh doanh.

Truy cập trình duyệt an toàn so với VPN, VDI và ZTNA – Bảng so sánh

VPN, Hạ tầng Máy tính Ảo, hoặc VDI, Truy cập Mạng Tin cậy Không, hoặc ZTNA, và truy cập trình duyệt an toàn giải quyết các vấn đề liên quan theo những cách khác nhau.

Cách tiếp cận Phù hợp nhất Rủi ro chính Xem xét SMB
VPN Người dùng cần truy cập mạng rộng rãi Nhiều khả năng hiển thị mạng hơn mức cần thiết Có thể tăng cường hỗ trợ và độ phức tạp của điểm cuối
VDI Môi trường máy tính để bàn tập trung Chi phí và quản lý hành chính Mạnh mẽ, nhưng thường nặng nề cho việc truy cập ứng dụng đơn giản
ZTNA Truy cập chi tiết vào các tài nguyên riêng tư Độ phức tạp về kiến trúc và cấp phép Mô hình mạnh mẽ, nhưng có thể phức tạp đối với các nhóm nhỏ hơn.
Truy cập trình duyệt an toàn Người dùng cần các ứng dụng riêng tư cụ thể Cổng lộ ra nếu không được bảo vệ Thực tiễn khi kết hợp với bảo mật máy chủ mạnh mẽ

VPN rất hữu ích khi người dùng thực sự cần truy cập mạng. VDI hữu ích khi tổ chức muốn tập trung hóa các máy tính để bàn đầy đủ. ZTNA hữu ích khi tổ chức sẵn sàng xây dựng quyền truy cập dựa trên danh tính chi tiết trên nhiều tài nguyên riêng tư.

Truy cập trình duyệt an toàn thường là lựa chọn nhẹ nhàng hơn cho các doanh nghiệp vừa và nhỏ. Người dùng mở trình duyệt, xác thực và truy cập các ứng dụng được chỉ định. Mô hình trở nên an toàn khi hạ tầng lưu trữ được bảo vệ chống lại các mối đe dọa truy cập từ xa phổ biến.

Cách TSplus Giúp Bảo Mật Truy Cập Trình Duyệt Đến Ứng Dụng Riêng

TSplus Advanced Security bảo vệ các máy chủ Windows và các phiên làm việc phía sau quyền truy cập từ xa vào các ứng dụng riêng tư. Nó giúp giảm thiểu các rủi ro tiếp xúc phổ biến như các nỗ lực đăng nhập brute-force, các kết nối địa lý không mong muốn, quyền truy cập ngoài giờ đã được phê duyệt, quyền hạn quá mức và hành vi ransomware.

Quản trị viên có thể sử dụng Brute force defender, Bảo vệ địa lý, Giờ làm việc, Quyền truy cập, Bảo vệ Ransomware, Tường lửa, Cảnh báo và Báo cáo để tăng cường quyền truy cập ứng dụng riêng tư dựa trên trình duyệt. Cùng nhau, những kiểm soát này giúp hạn chế ai kết nối, khi nào được phép truy cập và những mối đe dọa nào bị chặn.

Kết luận

Truy cập trình duyệt an toàn vào các ứng dụng riêng tư có thể giảm sự phụ thuộc vào VPN và hạn chế sự tiếp xúc với mạng khi bảo vệ phía máy chủ mạnh mẽ. TSplus giúp các doanh nghiệp vừa và nhỏ kiểm soát ai kết nối, hạn chế các vị trí và giờ không an toàn, chặn các nỗ lực tấn công brute-force, quản lý quyền truy cập và ngăn chặn hành vi ransomware, để các ứng dụng riêng tư vẫn có sẵn cho người dùng được ủy quyền mà không để hạ tầng Windows bị lộ ra không cần thiết trong quá trình hoạt động kinh doanh hàng ngày.

Chia sẻ:

Facebook Twitter LinkedIn

Nhóm của bạn TSplus

Đọc thêm

back to top of the page icon