)
)
介绍
远程和混合工作为员工提供了更大的灵活性,但它们也将访问扩展到受管办公室网络之外。用户可能通过家庭路由器、公共Wi-Fi或个人设备进行连接。因此,IT团队需要一个安全的工作空间,以控制访问、保护系统和数据,并保持足够简单以便于日常工作。
什么是远程工作的安全工作区?
一个安全的远程工作空间是一个受控的数字环境,员工、承包商和管理员可以在办公室外访问公司资源。根据他们的角色,用户可能需要完整的Windows桌面、特定的业务应用程序、云服务或管理工具。
这些连接可能来自公司笔记本电脑、个人设备、客户站点或家庭网络。由于组织无法控制每个位置,安全性不再完全依赖于传统的办公室边界。相反,保护需要跟随用户和会话,无论连接从何处开始。
工作区不仅仅是远程连接
加密是远程访问的重要组成部分,但加密连接并不自动意味着安全。如果攻击者窃取了有效的凭据,终端被感染或用户拥有过多权限,那么该受保护的连接仍然可能被滥用。
一个安全的远程工作空间将身份控制、设备保护、访问限制、服务器安全、应用程序权限和监控结合在一起。这些措施作为相互连接的层次工作效果最佳,而不是作为独立的安全项目。
远程访问安全链
将远程访问视为一个连接的链条是有帮助的:
用户身份 → 终端设备 → 网络连接 → 远程访问平台 → 应用程序 → 商业数据
因为 远程桌面安全取决于终端状态、网络暴露和账户控制 任何时候的弱点都可能影响整个会话。例如,多因素身份验证可以阻止攻击者使用被盗密码,但它无法保护未打补丁的应用程序服务器或具有不必要管理权限的帐户。因此,安全工作区需要保护每个阶段,同时保持对每个用户角色的适当访问。
为什么安全远程工作空间很重要?
远程和混合工作使用户、设备和访问路径分散在组织无法始终直接管理的位置,这是一个由以下内容涵盖的挑战 NIST关于远程工作、远程访问和自带设备安全的指导 员工在使用敏感应用程序和数据时,可以通过家庭路由器、公共Wi-Fi、移动网络或个人计算机进行连接。
因此,IT团队需要清楚了解谁在连接、他们使用的设备、他们试图访问的内容以及连接是否符合预期行为。
远程工作消除了传统的边界
在传统办公室中,网络控制在用户和系统周围创建了一个明确的边界。远程工作改变了这一模型,因为合法的连接现在开始于内部网络之外。
攻击者可以针对暴露的远程桌面协议服务、保护薄弱的门户、重复使用的密码、未修补的虚拟私人网络设备和被攻陷的终端。一旦他们使用有效的凭据登录,他们的活动最初可能看起来与授权用户相似。这就是为什么身份、设备上下文和会话行为在远程工作安全中扮演如此关键的角色。
安全控制必须保持可用性
安全措施如果使正常工作变得过于困难,可能会产生自身的问题。当批准的工作区运行缓慢、令人困惑或不可靠时,用户可能会不安全地保存密码,通过个人服务传输文件或采用未批准的应用程序。
一个设计良好的安全工作区可以降低风险,而不会增加不必要的摩擦。员工应该只看到他们需要的应用程序,通过一致的访问路径访问这些应用程序,并在没有可避免的复杂性的情况下完成身份验证。同时,集中管理的政策和日志应该使IT团队更容易管理这种体验。
远程工作空间的核心安全层
没有单一技术可以单独保护远程工作。一个有韧性的工作空间使用多个防御层,以便一个控制的失败不会立即暴露应用程序或数据。
身份和认证
身份控制决定是否允许某人启动远程会话。密码在大多数身份验证系统中仍然发挥着作用,但它们不足以防止网络钓鱼、密码重用和凭证填充。
远程用户和管理员应尽可能使用多因素身份验证。账户锁定策略、登录速率限制和重复失败的警报增加了另一层保护。组织还应及时删除不活跃的账户,并将标准用户身份与特权管理账户分开。
端点信任
端点是远程连接开始的设备。即使用户是合法的,受损的计算机也可能暴露凭据、引入恶意软件或允许敏感文件离开组织。
管理设备应接收操作系统更新、端点检测与响应、反恶意软件保护、防火墙策略和磁盘加密。IT团队还需要决定用户是否可以本地存储数据、重定向剪贴板或将本地驱动器连接到远程会话。
自带设备政策应定义个人设备的最低安全要求。当组织无法完全信任终端时,基于浏览器的应用程序访问或受限的远程会话可以帮助减少本地数据暴露。
受控远程访问
访问层决定了用户如何访问内部应用程序和桌面。IT团队应尽可能避免将后端应用程序服务器直接暴露于互联网。安全网关、反向代理或网页门户可以提供一个受控的入口点。
应用程序发布可以进一步减少暴露。只需要一个会计应用程序的财务员工可能不需要访问完整的桌面或更广泛的内部网络。
无论什么 安全远程访问模型 组织选择时,应提供加密通信、细粒度用户分配和集中会话控制。当用户确实需要网络级连接时,虚拟专用网络仍然有用,但并不总是每个远程工作者的最佳默认选择。
应用程序和会话安全
安全并不在用户登录后结束。远程会话应继续限制对用户工作所需的应用程序、文件、打印机和管理功能的访问。
基于角色的访问控制和最小权限有助于减少被攻陷账户可能造成的损害。会话超时、工作时间限制和设备重定向策略也可以限制无人值守或不当访问。
特权会话需要更严格的控制。管理员在处理敏感系统时应使用单独的账户、经过批准的设备和额外的监控。
数据保护
一个安全的工作空间应该防止商业数据不必要地移动到远程终端。集中式应用程序或桌面交付可以通过将文件和处理保留在组织控制的服务器上,同时仅将会话界面发送给用户来提供帮助。
敏感信息在传输和静态时应保持加密。备份系统还应保留受保护的恢复副本,以防被破坏的生产账户进行修改。
对于受监管或机密数据,组织可能还需要文件访问审计、保留政策和数据丢失防护控制。
监控与响应
身份验证和会话活动应生成管理员可以查看和关联的日志。 有用的事件包括成功和失败的登录、被阻止的连接、新的源位置、权限更改、文件访问和安全配置更改。
警报在指向需要采取行动的行为时最为有用。重复的登录失败、特权账户从新位置连接或一个来源试图访问多个服务器都是例子。
监控只有在组织知道如何应对时才有帮助。IT团队需要明确的程序来禁用账户、隔离主机、终止会话以及在出现可疑活动时保留证据。
远程工作空间的常见威胁有哪些?
远程工作区攻击通常结合了几种普通的弱点,而不是依赖于一种复杂的漏洞。查看可能的攻击路径有助于IT团队决定哪些控制措施最值得关注。
凭证盗窃和网络钓鱼
网络钓鱼仍然是获取远程访问凭据最常见的方法之一。攻击者可能会复制 Microsoft 365 登录页面、支持门户或多因素身份验证提示,以欺骗用户批准访问。
多因素认证使被盗密码的用处降低,但用户意识仍然很重要。特权和高风险账户可能还需要更强的、抗钓鱼的认证方法。
暴露的远程服务
互联网面向的远程访问服务会持续扫描弱凭据、已知漏洞和配置错误。直接暴露远程桌面协议端口3389在有网关或中介访问方法可用时会带来不必要的风险。
当无法避免公开暴露时,IT团队应在可行的情况下限制源地址,快速应用安全更新,强制执行网络级身份验证,并监控失败的连接尝试。
勒索软件和登录后活动
攻击者通过远程账户获得访问权限后,可能会使用合法的系统工具来探索环境、提升权限并部署勒索软件。防止初始登录非常重要,但一个 RDS环境的勒索软件应对手册 必须限制经过身份验证的会话可以访问的内容。
网络分段、限制权限、受保护的备份和行为监控可以减少成功入侵的影响。
未管理的设备和影子 IT
个人设备和未经授权的云服务可能会将公司数据转移到超出组织控制的范围。员工通常会转向这些工具,因为批准的工作空间无法满足实际需求。
与其仅依赖禁止,IT团队应解决行为背后的工作流程。一个可靠的浏览器门户、经过批准的文件传输方法或应用程序发布服务可以使影子IT的吸引力降低。
如何建立一个安全的远程工作空间?
一个安全的工作空间在作为一个结构化程序引入时效果最佳,而不是作为一系列无关产品的集合。以下顺序帮助IT团队优先处理最重要的风险。
映射用户、设备和资源
首先识别所有需要远程访问的人。员工、承包商、管理员、托管服务提供商和其他第三方应视为不同的组,因为他们的需求和风险不同。
对于每个组,记录他们所需的应用程序、数据、连接时间和终端类型。这些信息为访问策略提供了基础。
减少不必要的暴露
以下 CISA关于保护远程访问软件的指导 审查每个面向互联网的远程访问服务,并删除任何不再需要的内容。尽可能在应用程序服务器前放置安全网关、反向代理或Web门户,而不是直接发布它们。
发布单个应用程序而不是完整的桌面或网络可以进一步减少暴露。较小的访问面通常更容易保护和监控。
加强身份验证
要求远程用户和管理员进行多因素身份验证。特权账户应具备更强的条件,例如使用单独的凭据和从批准的设备访问。
应启用并监控对重复登录尝试的保护。密码策略应鼓励使用长且独特的凭据,而不依赖于可预测的轮换计划。
应用最小权限访问
通过用户或基于角色的组分配应用程序和文件。每个人应仅获得其当前职责所需的访问权限。
权限应定期审查,并在员工更换角色或承包商完成工作时予以删除。管理账户也应与用于日常应用访问的账户保持分离。
保护终端和服务器
保持终端操作系统、浏览器、业务应用程序和远程访问软件的最新状态。管理设备还应使用终端保护、防火墙策略和磁盘加密。
远程会话主机和应用程序服务器需要同样的关注。IT团队应定期对它们进行修补,移除未使用的服务,并保护它们免受暴力攻击、勒索软件活动和未经授权的配置更改。
监控完整访问路径
从身份系统、远程访问网关、Windows 服务器、终端工具和业务应用程序收集事件。将这些记录汇集在一起,使得查看活动序列变得更加容易,而不是孤立警报的集合。
响应阈值应涵盖重复失败、异常位置、特权登录和在批准时间之外的访问。政策还应在事件发生后、基础设施变更后以及员工变更后进行审查。
测试恢复程序
备份必须在生产服务器或凭据受到损害时仍然可用。备份管理应单独受到保护,恢复程序应定期进行测试。
事件演练应确认团队能够撤销访问权限、隔离系统、恢复服务并与用户沟通。在这些程序经过测试之前,恢复计划仍然是一个假设。
如何选择安全的工作区技术?
一个安全的远程工作空间通常结合了几种技术,每种技术都针对访问过程的不同部分。
| 技术 | 主要目的 | 最适合于 |
|---|---|---|
| 远程桌面服务 | 集中式Windows桌面和会话 | 提供完整Windows工作区的组织 |
| 应用程序发布 | 所选应用程序的交付 | 不需要完整桌面的用户 |
| 安全访问网关 | 经纪访问,无需直接服务器暴露 | 面向互联网的远程访问环境 |
| HTML5网页门户 | 基于浏览器的访问,无需专用客户端 | 承包商、移动用户和混合终端 |
| 虚拟私人网络 | 加密的网络级连接 | 需要访问多个内部服务的用户 |
| 多因素身份验证 | 额外身份验证 | 所有远程用户,特别是管理员 |
| Endpoint protection | 恶意软件检测和设备防护 | 管理的笔记本电脑、台式机和服务器 |
| 安全监控 | 检测、调查和响应 | 所有生产远程访问环境 |
正确的架构取决于每个用户实际需要达到的目标。在大多数情况下,IT团队应选择最狭窄的访问方法,以支持所需的工作。
如何评估安全工作区解决方案?
产品选择应从组织的访问模型开始,而不是长长的功能清单。首先,IT团队需要决定用户是否需要完全的网络访问、完整的桌面,还是仅需选择的应用程序。给予每个人广泛的访问权限可能会造成不必要的复杂性和风险,而更有限的模型可以支持相同的工作。
评估应集中在五个领域:
- 身份和访问控制,包括多因素身份验证、基于角色的权限以及与现有身份服务的集成
- 应用程序和桌面的交付选项,支持安全网关或反向代理功能
- 会话安全,包括设备重定向策略、活动限制和管理员控制
- 通过日志记录、警报、报告、服务器安全和勒索软件防护进行监控和保护
- 操作适应性,包括部署工作量、补丁、Windows兼容性、可扩展性和总成本
概念验证应使用真实的用户、应用程序、设备和网络条件。它还应展示管理员如何撤销访问权限、调查可疑活动、应用更新以及在服务器故障或安全事件后恢复服务。
TSplus 如何支持安全的远程工作空间?
TSplus高级安全 增强支持远程工作的Windows服务器。它为影响远程桌面协议会话、应用程序服务器和其他面向互联网的Windows环境的威胁提供专门保护。管理员可以集中管理这些控制,以减少暴露,而不使合法的远程访问变得不必要地复杂。
其主要安全功能包括:
- 暴力破解保护监控失败的登录尝试,并阻止超过配置阈值的IP地址。
- 地理保护根据连接的来源国限制传入连接。
- 勒索软件保护可以检测可疑的文件活动,并在攻击传播之前阻止受影响的进程。
- 安全会话和权限限制用户在Windows会话期间可以访问和执行的操作。
- 工作时间限制远程连接到批准的时间表。
- 受信任的设备将访问与授权的端点关联。
- 防火墙和IP管理工具帮助管理员允许、阻止和审查网络资源。
- 安全事件、警报和报告提供了对可疑活动和政策行动的可见性。
TSplus高级安全 应作为分层安全策略的一部分进行操作,该策略还包括多因素身份验证、端点保护、补丁管理、受保护的备份和最小权限管理。这些控制措施共同帮助IT团队保护远程工作空间免受暴力攻击、勒索软件和未经授权的访问,而不依赖于单一的防御措施。
结论
一个安全的远程工作空间并不是由特定的产品或连接方式定义的。它是一个分层环境,保护用户身份、终端设备、网络连接、远程会话、应用程序和商业数据,形成一个连续的访问链。
IT团队应减少不必要的暴露,强制实施强身份验证,并在添加端点保护、服务器加固和集中监控之前应用最小权限访问。结合经过测试的备份和恢复程序,这些措施创建了一个弹性工作空间,支持远程生产力,同时限制被攻陷的账户、设备或会话的影响。
)
)
)
