)
)
Kết nối an toàn từ xa bắt đầu với yêu cầu truy cập thực tế của mỗi chi nhánh, kho hàng, phòng khám, cửa hàng bán lẻ, trang trại, địa điểm công nghiệp hoặc vị trí khách hàng được quản lý. Ở đây, chúng tôi tập trung vào bốn nhu cầu thực tiễn: kết nối mạng đến mạng, truy cập người dùng đến mạng, truy cập quản trị/ máy chủ, và truy cập chỉ ứng dụng hoặc quyền hạn tối thiểu.
Việc định hình lại này thay đổi phạm vi của giao thức truy cập từ xa an toàn cho các tình huống chi nhánh thành một nguồn giải pháp thực tiễn mà bạn có thể tái sử dụng. Chúng tôi thậm chí áp dụng nó cho một vài trường hợp cụ thể. Chúng tôi sẽ kết thúc bằng cách chỉ ra vai trò của TSplus Advanced Security trong việc bảo vệ các môi trường truy cập từ xa phân tán.
Tại sao các quyết định về kết nối an toàn từ xa thường sai lầm?
Bắt đầu với công nghệ thay vì phạm vi truy cập
Nhiều dự án truy cập từ xa bắt đầu với một công cụ quen thuộc thay vì một trường hợp sử dụng xác định. Một văn phòng phụ mở ra, một kho hàng mới đi vào hoạt động, hoặc một nhà cung cấp dịch vụ quản lý (MSP) tiếp nhận một trang khách hàng, và phản ứng đầu tiên thường là mở rộng kết nối rộng rãi. Cách tiếp cận đó có thể hiệu quả, nhưng nó cũng có thể mang lại cho một địa điểm từ xa khả năng tiếp cận nhiều hơn so với những gì thực sự cần thiết.
Tại sao một "site từ xa" không bằng một "mô hình truy cập"?
Đó là một sai lầm trong thiết kế. Tất cả các trang từ xa không phải là một danh mục kỹ thuật duy nhất. Một trang cần cơ sở hạ tầng chia sẻ và kết nối liên tục với các dòng kinh doanh. Một trang khác chỉ cần một vài người dùng để truy cập tài nguyên nội bộ. Một trang khác chủ yếu cần quản trị CNTT. Một trang khác cần một ứng dụng đã được công bố và không cần gì khác. Đối xử với cả bốn trường hợp như nhau tạo ra sự tin tưởng không cần thiết, nhiều rủi ro hơn và nhiều chi phí bảo mật hơn.
Hướng dẫn của NIST về truy cập từ xa nêu rõ cùng một điểm bằng các thuật ngữ chính thức hơn: truy cập từ xa nên được thiết kế để bảo vệ an ninh trong khi hạn chế sự tiếp xúc không cần thiết. Nói cách khác, câu hỏi đầu tiên đúng không phải là “Phương pháp kết nối nào mà chúng ta đã biết?” mà là “Cụ thể, trang web, người dùng hoặc quản trị viên này phải đạt được điều gì?”
4 mô hình kết nối từ xa an toàn nào là quan trọng nhất?
Đối với hầu hết các môi trường văn phòng chi nhánh và địa điểm phụ, kết nối từ xa rơi vào bốn mô hình thực tiễn.
Kết nối mạng đến mạng
Điều đầu tiên là truy cập mạng đến mạng Đây là mô hình tư duy đúng khi trang web từ xa cần hoạt động như một phần của tổ chức lớn hơn. Hạ tầng địa phương, hệ thống trang web, tài nguyên chia sẻ và dịch vụ trung tâm phải hoạt động cùng nhau một cách nhất quán.
Truy cập từ người dùng đến mạng
Phần thứ hai bao gồm kết nối người dùng đến mạng Ở đây, trang web không cần mở rộng rộng rãi, nhưng một số người thì cần. Nhân viên có thể cần một số tài nguyên nội bộ từ một văn phòng từ xa, một không gian làm việc tại nhà gắn liền với quy trình làm việc của chi nhánh, hoặc trong khi di chuyển giữa các địa điểm.
Truy cập quản trị/máy chủ
Lần truy cập thứ ba cơ sở hạ tầng quản trị/máy chủ Đây là cho các hoạt động CNTT. Yêu cầu chính là bảo trì có kiểm soát, hỗ trợ, khắc phục sự cố và quản trị máy chủ, không phải là tiếp cận người dùng cuối rộng rãi.
Truy cập chỉ ứng dụng hoặc quyền hạn tối thiểu
Thứ tư là truy cập chỉ ứng dụng hoặc quyền hạn tối thiểu Mô hình này phù hợp nhất khi người dùng, nhà thầu hoặc nhà cung cấp chỉ cần một ứng dụng cụ thể hoặc tài nguyên được xác định hẹp. Nó phù hợp chặt chẽ với sở thích của chúng tôi về Zero Trust. Tổng thể, chúng tôi nhấn mạnh tầm quan trọng của việc xác minh người dùng, thiết bị và phiên thay vì tin tưởng vào một con đường chỉ vì nó tồn tại.
Trường hợp sử dụng 1: Khi nào một trang từ xa thực sự cần kết nối mạng đến mạng an toàn?
Mô hình này phù hợp ở đâu và khi nào nó trở nên quá rộng
Một số trang web thực sự cần kết nối rộng. Một kho có thể dựa vào ERP trung tâm trong khi cũng sử dụng các máy in, máy quét và thiết bị vận hành địa phương. Một chi nhánh bán lẻ có thể cần một số hệ thống văn phòng hỗ trợ liên kết với các dịch vụ trung tâm. Một trang web công nghiệp hoặc nông nghiệp có thể phụ thuộc vào các tài sản địa phương cần phải được đồng bộ hóa với các hệ thống cốt lõi.
Trong những trường hợp đó, việc kết nối rộng rãi với trang web có thể được biện minh vì chính trang web là một phần của môi trường hoạt động. Chìa khóa là nhận ra rằng đây là mô hình truy cập nặng nhất. Nó tạo ra mối quan hệ tin cậy rộng nhất, vì vậy nó nên được dành riêng cho những trường hợp mà một thiết kế hẹp hơn sẽ phá vỡ quy trình làm việc.
Ưu tiên bảo mật cho kết nối mở rộng trang web
Đây cũng là nơi mà kỷ luật an ninh trở nên quan trọng nhất. Khi một trang web được kết nối rộng rãi, phân đoạn, ghi nhật ký, chính sách tường lửa và hạn chế truy cập trở nên thiết yếu. TSplus Advanced Security có liên quan ở đây không phải vì nó tạo ra kết nối, mà vì nó giúp bảo vệ các đường dẫn truy cập bị lộ và hạ tầng nhạy cảm dựa trên Windows với các tính năng như Tường lửa, Bảo vệ IP Hacker, Bảo vệ Địa lý, Bảo vệ chống Brute force, Phiên bảo mật và Quyền truy cập.
Một quy tắc tốt là đơn giản: nếu người dùng tại địa điểm từ xa thực sự chỉ cần một hoặc hai ứng dụng, đừng mặc định tin cậy toàn bộ trang web. Điều đó thường là quá nhiều thiết kế cho quá ít nhu cầu.
Trường hợp sử dụng 2: Khi nào việc truy cập an toàn từ người dùng đến mạng là nhu cầu thực sự?
Các kịch bản làm việc chi nhánh và hybrid điển hình
Đôi khi chi nhánh hoặc địa điểm phụ không cần mở rộng rộng rãi. Thay vào đó, một số ít nhân viên cần truy cập vào nhiều tài nguyên nội bộ. Đó là một vấn đề khác. Đó là truy cập từ xa ở cấp độ người dùng, không phải truy cập từ xa ở cấp độ địa điểm.
Mô hình này phổ biến trong các hoạt động kết hợp. Một giám đốc khu vực, người phụ trách tài chính hoặc một nhóm hành chính nhỏ có thể cần một số công cụ nội bộ từ một văn phòng vệ tinh. Thiết kế đúng ở đây được hình thành bởi danh tính cá nhân, thiết bị, phiên và chính sách, chứ không phải bằng cách coi toàn bộ trang web như một phần mở rộng đáng tin cậy.
Nơi mà các phù hợp cụ thể của người dùng tốt hơn so với mở rộng toàn trang
Sự phân biệt đó quan trọng vì quyền truy cập từ người dùng đến mạng vẫn có thể trở nên quá rộng. Nếu một người dùng thực sự chỉ cần một ứng dụng, việc cấp quyền truy cập nội bộ rộng rãi sẽ tăng rủi ro mà không mang lại giá trị. Chúng tôi là những người ủng hộ mạnh mẽ việc giảm thiểu sự tiếp xúc và áp dụng quyền hạn tối thiểu khi có thể, đặc biệt là đối với các doanh nghiệp vừa và nhỏ và các môi trường phân tán.
Ưu tiên bảo mật cho quyền truy cập từ xa cấp người dùng
TSplus Advanced Security hỗ trợ mô hình này bằng cách thêm các kiểm soát xung quanh ai có thể kết nối, từ đâu và trong điều kiện nào. Bảo vệ Địa lý có thể hạn chế quyền truy cập vào các địa chỉ IP riêng tư và đã được đưa vào danh sách trắng hoặc các khu vực được chọn. Bảo vệ Bruteforce có thể tự động đưa vào danh sách đen các địa chỉ IP vi phạm sau nhiều lần đăng nhập không thành công. Điều đó giúp chuyển đổi một vấn đề "người dùng từ xa" rộng thành một lộ trình truy cập được kiểm soát và dựa trên chính sách hơn.
Trường hợp sử dụng 3: Khi nào việc truy cập quản trị viên hoặc máy chủ an toàn là cần thiết?
Các kịch bản IT và MSP điển hình
Một phần lớn của các dự án kết nối trang từ xa được gọi là thực chất là các dự án quản trị CNTT. Một nhà cung cấp dịch vụ quản lý (MSP) cần duy trì một máy chủ khách hàng. Một quản trị viên nội bộ cần vá một máy chủ từ xa. Một kỹ thuật viên hỗ trợ cần khắc phục sự cố môi trường phiên Windows. Không có điều nào trong số đó yêu cầu cấp quyền truy cập cùng một mức độ cho người dùng thông thường hoặc toàn bộ trang.
Tại sao quyền truy cập của quản trị viên nên tách biệt với quyền truy cập của người dùng thông thường
Quyền truy cập quản trị nên được coi là một danh mục riêng vì nó có đặc quyền theo bản chất. Thiết kế an toàn nhất thường là thiết kế giữ lưu lượng truy cập quản trị tách biệt với quy trình làm việc của người dùng thông thường, giới hạn từ đâu quản trị viên có thể kết nối, và củng cố đường vào một cách mạnh mẽ hơn nhiều so với kênh người dùng tiêu chuẩn.
Tính năng bảo mật được thiết kế khéo léo để bảo vệ tối ưu
Đây là một trong những lý do mạnh mẽ nhất cho phần mềm Advanced Security của chúng tôi và các tính năng của nó. Chức năng Bruteforce Protection của sản phẩm được thiết kế rõ ràng để theo dõi các nỗ lực đăng nhập không thành công trên Windows và đưa các IP tấn công vào danh sách đen. Tường lửa, Quyền truy cập, Phiên bảo mật và các báo cáo của nó rất hữu ích khi mục tiêu là một máy chủ Windows có thể truy cập công khai hoặc đường dẫn quản trị từ xa.
Ưu tiên bảo mật cho quyền truy cập từ xa được cấp quyền
Điều này cũng là nơi không phải tất cả các tính năng sản phẩm của chúng tôi đều áp dụng theo cùng một cách. Ví dụ, Trusted Devices hoạt động với các kết nối từ TSplus Remote Access Web Portal. Thực tế, bạn sẽ thấy tài liệu của chúng tôi ghi chú rằng Web Portal không tương thích với các phiên HTML5 hoặc các thiết bị iOS và Android ẩn tên máy chủ. Điều đó quan trọng khi lập kế hoạch thực thi độ tin cậy của thiết bị cho các quy trình làm việc của quản trị viên.
Bạn có đang khắc phục sự cố RDP hoặc bảo mật các điểm truy cập quản trị tại các chi nhánh và địa điểm phụ không? Bạn có biết không? Hãy hỏi chúng tôi và cùng nhau chúng ta sẽ lên lịch một buổi trình diễn có hướng dẫn về TSplus Advanced Security.
Trường hợp sử dụng 4: Khi nào quyền truy cập chỉ ứng dụng hoặc quyền truy cập tối thiểu là câu trả lời tốt hơn?
Các kịch bản điển hình dựa trên chi nhánh, nhà cung cấp và nhiệm vụ
Đây thường là mô hình sạch nhất và là mô hình mà nhiều môi trường thường bỏ qua. Nếu một nhân viên chi nhánh chỉ cần một màn hình ERP, một hệ thống lập lịch, một công cụ kế toán, hoặc một ứng dụng Windows đã được phát hành khác, thì quyền truy cập từ xa rộng rãi thường là không cần thiết. Câu trả lời đúng không phải là “nhiều mạng hơn.” Mà là “ít quyền truy cập hơn, được cung cấp tốt hơn.”
Tại sao quyền truy cập có giới hạn giảm thiểu rủi ro
Đây là nơi một sản phẩm khác trong bộ sản phẩm của chúng tôi trở nên rất phù hợp. TSplus Remote Access hỗ trợ một Cổng Web an toàn và việc xuất bản ứng dụng, cho phép người dùng truy cập vào một ứng dụng hoặc trải nghiệm máy tính để bàn được kiểm soát mà không cần mở rộng môi trường rộng hơn. Bất kể công cụ phân phối là gì, quyền truy cập chỉ vào ứng dụng là lựa chọn thiết kế đúng cho kịch bản này.
Ưu tiên bảo mật cho quyền truy cập công khai và hạn chế
TSplus Advanced Security vẫn giữ vai trò trung tâm vì ngay cả một mô hình truy cập hẹp hơn vẫn cần được bảo vệ. Các máy chủ ứng dụng công khai và các đường dẫn truy cập web vẫn là bề mặt tấn công. Đọc bài viết của chúng tôi về cổng web an toàn để biết thêm về bảo vệ chống tấn công brute-force và lọc IP địa lý. Chúng đặc biệt quan trọng cho các dịch vụ RDP và cổng web bị lộ và chính xác là loại bảo mật mà việc cung cấp ứng dụng theo hướng nhánh cần.
Quyền truy cập tối thiểu cũng là mô hình đúng cho các nhà cung cấp, nhà thầu và đối tác tạm thời. Nếu một bên thứ ba cần một công cụ nội bộ, một giao diện bảo trì hoặc một quy trình làm việc có thời hạn, việc cho họ quyền truy cập rộng hơn là không tiện lợi. Đó là sự phơi bày quá mức.
Làm thế nào bạn có thể chọn mô hình an toàn nhất cho mỗi địa điểm từ xa?
Một khung quyết định thực tiễn bắt đầu với bốn câu hỏi.
Đầu tiên, điều gì phải được đạt được?
Nếu câu trả lời là “hạ tầng trang web chia sẻ và nhiều hệ thống nội bộ,” kết nối mạng đến mạng có thể được biện minh. Nếu câu trả lời là “một vài tài nguyên nội bộ cho người dùng được chọn,” quyền truy cập người dùng đến mạng gần hơn. Nếu câu trả lời là “quản lý và bảo trì máy chủ,” đó là một vấn đề quyền truy cập quản trị. Nếu câu trả lời là “một ứng dụng hoặc một nhiệm vụ,” quyền truy cập chỉ ứng dụng hoặc quyền truy cập tối thiểu nên dẫn dắt thiết kế.
Thứ hai, ai cần truy cập?
Một văn phòng chi nhánh hoàn chỉnh, một nhóm người dùng nhỏ, một đội ngũ IT và một nhà cung cấp bên ngoài không nên thừa hưởng cùng một mô hình tin cậy.
Thứ ba, mức độ tiếp xúc nào là chấp nhận được?
Phạm vi càng rộng, các biện pháp kiểm soát bù đắp càng phải mạnh mẽ hơn. Vị trí bảo mật của TSplus luôn ưu tiên giảm thiểu rủi ro, tăng cường danh tính, thực thi chính sách và giám sát hơn là tin tưởng mặc định rộng rãi.
Thứ tư, môi trường thực sự có thể chịu đựng gánh nặng hỗ trợ nào?
Các nhóm CNTT nhỏ và MSP cần các thiết kế an toàn nhưng dễ quản lý. Đó là một lý do mà TSplus định vị Advanced Security xung quanh việc bảo vệ thực tiễn mà không có sự phức tạp không cần thiết.
TSplus Advanced Security phù hợp nhất ở đâu?
Bảo vệ các đường dẫn truy cập bị lộ
TSplus Advanced Security là cốt lõi trong việc giúp bảo mật bất kỳ mô hình trang web từ xa nào bạn chọn với các tính năng của nó:
Bảo vệ IP Hacker,
Bảo vệ Địa lý,
Bảo vệ chống tấn công brute force,
Hạn chế Giờ Làm Việc
Tường lửa,
Cảnh báo,
Báo cáo,
Bảo vệ Ransomware,
Quyền hạn,
Phiên làm việc an toàn
và Thiết bị Đáng tin cậy.
Thực thi chính sách với geo, IP và kiểm soát phiên làm việc
Công cụ 360 này được xây dựng để bảo vệ các môi trường dựa trên Windows phân tán với các đường dẫn truy cập từ xa bị lộ. Tài liệu hướng dẫn khởi động nhanh của nó đặt Bảo vệ Ransomware, Bảo vệ Bruteforce và Bảo vệ Địa lý vào trung tâm của quá trình thiết lập ban đầu, điều này phản ánh sự tập trung vào việc gia cố thực tiễn của sản phẩm. Đối với các chi nhánh và địa điểm phụ, sự kết hợp đó rất hữu ích vì các rủi ro chính thường là các cuộc tấn công đăng nhập lặp đi lặp lại, quyền truy cập nguồn quá rộng, lạm dụng phiên và tác động kinh doanh của ransomware lây lan qua các hệ thống có thể tiếp cận.
Tăng cường môi trường phân tán chống lại ransomware và lạm dụng
Bảo vệ Ransomware đặc biệt quan trọng trong các môi trường phân tán. Nó phát hiện, chặn và ngăn chặn ransomware, sử dụng cả phân tích tĩnh và hành vi, và có thể phản ứng ngay khi phát hiện ransomware trong một phiên. Điều này rất có giá trị khi một điểm cuối bị xâm phạm, người dùng từ xa hoặc quy trình làm việc của chi nhánh trở thành điểm pivot vào các hệ thống trung tâm.
Ví dụ về các trang từ xa trong thế giới thực
[A] Một chi nhánh bán lẻ thường phù hợp với mô hình chỉ ứng dụng. Nhân viên thường cần một bộ công cụ kinh doanh hạn chế, không phải khả năng tiếp cận mạng rộng. Thiết kế an toàn hơn thường là truy cập công khai cộng với các điểm truy cập được gia cố.
[A] Một kho hoặc địa điểm công nghiệp có khả năng biện minh cho kết nối rộng rãi hơn vì các thiết bị địa phương và hệ thống trung tâm cần sự phối hợp liên tục. Ngay cả như vậy, quyền truy cập của quản trị viên nên được giữ tách biệt và được kiểm soát chặt chẽ.
[A] Một văn phòng chăm sóc sức khỏe vệ tinh thường cần có phạm vi mạnh mẽ hơn. Các vai trò khác nhau cần các hệ thống khác nhau, và quyền truy cập rộng có thể tạo ra cả vấn đề về bảo mật và tuân thủ. Quyền truy cập ở cấp người dùng hoặc cấp ứng dụng thường là điểm khởi đầu tốt hơn so với kết nối toàn diện.
An Trang web khách hàng được quản lý bởi MSP thường là một vấn đề truy cập admin/server trước tiên. Nhà cung cấp cần một con đường hỗ trợ an toàn, có thể kiểm tra được, chứ không phải là sự tin tưởng rộng rãi không giới hạn vào toàn bộ môi trường khách hàng.
Kết luận: Bắt đầu với phạm vi truy cập, sau đó bảo mật nó đúng cách
Kết nối trang từ xa không phải là một vấn đề với một câu trả lời. Một số trang cần kết nối rộng. Một số cần quyền truy cập cho người dùng được chọn. Một số cần các đường dẫn quản trị đặc quyền. Một số chỉ cần một ứng dụng đã xuất bản hoặc một quy trình làm việc được xác định chặt chẽ.
Đó là lý do tại sao câu hỏi thiết kế bảo mật tốt nhất không phải là “Giao thức truy cập từ xa bảo mật nào nghe có vẻ mạnh nhất?” mà là “Mô hình truy cập thực tiễn nhỏ nhất nào vẫn cho phép địa điểm từ xa này hoạt động?” Khi câu hỏi đó được trả lời, an ninh trở nên rõ ràng hơn và dễ duy trì hơn.
TSplus Advanced Security phù hợp với chiến lược này. Nó không yêu cầu bạn phải tin tưởng mọi trang từ xa như nhau. Nó giúp bạn củng cố con đường đã chọn với các biện pháp bảo vệ liên quan, phù hợp và tập trung tốt cho các môi trường phân tán mà bạn sử dụng nhiều nhất.
Câu hỏi thường gặp
1. Cách tốt nhất để bảo mật các kết nối từ xa cho một địa điểm từ xa là gì?
Cách tốt nhất là phù hợp mô hình truy cập với nhu cầu thực tế. Một số địa điểm từ xa cần kết nối rộng, nhưng nhiều địa điểm chỉ cần truy cập ở cấp độ người dùng, cấp độ quản trị hoặc chỉ ứng dụng. An ninh được cải thiện khi phạm vi truy cập được giảm trước khi các biện pháp kiểm soát được thêm vào.
2. Mỗi văn phòng chi nhánh có cần kết nối mạng đầy đủ giữa các mạng không?
Không. Nhiều chi nhánh chỉ cần một vài ứng dụng nội bộ hoặc một đường dẫn quản trị được kiểm soát. Mở rộng lòng tin rộng rãi cho toàn bộ trang web sẽ làm tăng rủi ro và độ phức tạp mà không cải thiện kết quả cho người dùng.
3. Khi nào quyền truy cập từ người dùng đến mạng tốt hơn so với kết nối toàn bộ trang?
Tốt hơn khi những người dùng được chọn cần nhiều tài nguyên nội bộ nhưng chính trang web không cần hoạt động như một phần mở rộng mạng đầy đủ. Điều này giữ cho niềm tin gắn chặt hơn với danh tính và chính sách.
4. Khi nào quyền truy cập chỉ ứng dụng là lựa chọn tốt hơn?
Truy cập chỉ ứng dụng thường là tốt nhất khi người dùng cần một hoặc một vài ứng dụng kinh doanh thay vì phạm vi mạng rộng. Nó giảm thiểu sự tiếp xúc quá mức và phù hợp hơn với thiết kế quyền hạn tối thiểu.
5. TSplus Advanced Security giúp bảo vệ quyền truy cập từ xa như thế nào?
TSplus Advanced Security thêm các điều khiển như Bảo vệ Địa lý, Bảo vệ Bruteforce, Tường lửa, Quyền truy cập, Phiên bảo mật, Thiết bị tin cậy và Bảo vệ Ransomware để giúp củng cố các đường dẫn truy cập từ xa và môi trường Windows phân tán.
)
)
)
