)
)
介紹
遠端和混合工作為員工提供了更大的靈活性,但也將訪問擴展到受管理的辦公室網絡之外。用戶可能通過家庭路由器、公共 Wi-Fi 或個人設備進行連接。因此,IT 團隊需要一個安全的工作空間,以控制訪問、保護系統和數據,並保持足夠簡單以便於日常工作。
什麼是安全的遠程工作空間?
一個安全的遠端工作空間是一個受控的數位環境,員工、承包商和管理員可以在辦公室外訪問公司資源。根據他們的角色,使用者可能需要完整的 Windows 桌面、特定的商業應用程式、雲端服務或管理工具。
這些連接可能來自公司筆記型電腦、個人設備、客戶網站或家庭網路。因為組織無法控制每個位置,安全性不再完全依賴於傳統的辦公室邊界。相反,保護需要隨著用戶和會話無論連接從何處開始而移動。
工作空間不僅僅是遠程連接
加密是遠端存取的重要部分,但加密連接並不自動意味著安全。如果攻擊者竊取了有效的憑證,端點被感染或用戶擁有過多的權限,那麼這條受保護的連接仍然可能被濫用。
安全的遠端工作空間將身份控制、設備保護、訪問限制、伺服器安全、應用程式權限和監控結合在一起。這些措施作為相互連接的層次運作最佳,而不是作為獨立的安全項目。
遠端存取安全鏈
它有助於將遠端存取視為一個連接的鏈條:
用戶身份 → 端點設備 → 網絡連接 → 遠程訪問平台 → 應用程序 → 商業數據
因為 遠端桌面安全性取決於端點狀態、網絡暴露和帳戶控制 任何時候的弱點都可能影響整個會話。例如,多因素身份驗證可以阻止攻擊者使用被盜的密碼,但無法保護未修補的應用伺服器或擁有不必要管理權限的帳戶。因此,安全的工作空間需要在保護每個階段的同時,保持對每個用戶角色的適當訪問。
為什麼安全的遠端工作空間很重要?
遠端和混合工作使得用戶、設備和訪問路徑分散在組織無法始終直接管理的位置,這是一個由以下內容所涵蓋的挑戰 NIST 關於遠程工作、遠程訪問和自帶設備安全的指導 員工在使用敏感應用程式和數據時,可以通過家庭路由器、公共 Wi-Fi、移動網絡或個人電腦進行連接。
因此,IT 團隊需要清楚了解誰在連接、他們使用的是哪個設備、他們試圖訪問什麼,以及該連接是否符合預期行為。
遠端工作消除了傳統的邊界
在傳統辦公室中,網絡控制為用戶和系統創建了明確的邊界。遠程工作改變了這一模型,因為合法的連接現在從內部網絡之外開始。
攻擊者可以針對暴露的遠端桌面協議服務、保護薄弱的入口網站、重複使用的密碼、未修補的虛擬私人網路設備以及被入侵的端點進行攻擊。一旦他們使用有效的憑證登錄,他們的活動最初可能看起來與授權用戶相似。這就是為什麼身份、設備上下文和會話行為在遠端工作安全中扮演如此關鍵的角色。
安全控制必須保持可用性
安全措施如果使正常工作變得過於困難,可能會產生自身的問題。當經批准的工作空間運行緩慢、令人困惑或不可靠時,用戶可能會不安全地保存密碼,通過個人服務轉移文件或採用未經批准的應用程序。
精心設計的安全工作區可以降低風險,而不會增加不必要的摩擦。員工應該只看到他們需要的應用程式,通過一致的訪問路徑訪問它們,並在沒有可避免的複雜性的情況下完成身份驗證。與此同時,集中式的政策和日誌應該使IT團隊更容易管理這種體驗。
遠端工作空間的核心安全層
沒有任何單一技術能夠單獨保護遠端工作。一個具有韌性的工作空間使用多個防禦層,以便一個控制的失效不會立即暴露應用程式或數據。
身份和認證
身份控制決定某人是否應該被允許啟動遠程會話。密碼在大多數身份驗證系統中仍然扮演著角色,但它們不足以防止網絡釣魚、密碼重用和憑證填充。
遠端使用者和管理員應在可能的情況下使用多重身份驗證。帳戶鎖定政策、登錄速率限制以及對重複失敗的警報增加了另一層保護。組織還應及時刪除不活躍的帳戶,並將標準用戶身份與特權管理帳戶分開。
端點信任
端點是遠端連接開始的設備。即使使用者是合法的,受損的電腦也可能暴露憑證、引入惡意軟體或允許敏感文件離開組織。
管理的設備應接收操作系統更新、端點檢測與回應、反惡意軟體保護、防火牆政策和磁碟加密。IT 團隊還需要決定用戶是否可以在本地存儲數據、重定向剪貼簿或將本地驅動器連接到遠程會話。
自帶設備政策應定義個人設備的最低安全要求。當組織無法完全信任端點時,基於瀏覽器的應用程序訪問或受限的遠程會話可以幫助減少本地數據暴露。
受控的遠端存取
訪問層決定用戶如何訪問內部應用程序和桌面。IT 團隊應盡可能避免將後端應用程序伺服器直接暴露於互聯網。安全網關、反向代理或網頁門戶可以提供受控的進入點。
應用程式發布可以進一步減少暴露。一名只需要會計應用程式的財務員工可能不需要訪問完整的桌面或更廣泛的內部網絡。
無論如何 安全的遠端存取模式 該組織選擇時,應提供加密通信、細粒度用戶分配和集中會話控制。當用戶真正需要網絡級連接時,虛擬私人網絡仍然有用,但它們並不總是每位遠程工作者的最佳默認選擇。
應用程式和會話安全性
安全並不會在用戶登錄後結束。遠程會話應繼續限制對用戶工作所需的應用程序、文件、打印機和管理功能的訪問。
基於角色的存取控制和最小特權有助於減少被入侵帳戶可能造成的損害。會話超時、工作時間限制和設備重定向政策也可以限制無人值守或不當的存取。
特權會話需要更嚴格的控制。管理員在處理敏感系統時應使用單獨的帳戶、經批准的設備和額外的監控。
數據保護
安全的工作空間應該防止商業數據不必要地移動到遠端端點。集中式應用程序或桌面交付可以通過將文件和處理保留在組織控制的伺服器上,同時僅將會話介面發送給用戶來提供幫助。
敏感信息在傳輸和靜止時應保持加密。備份系統還應保留受保護的恢復副本,以防被入侵的生產帳戶修改。
對於受監管或機密數據,組織可能還需要文件訪問審計、保留政策和數據丟失防護控制。
監控與回應
身份驗證和會話活動應該創建日誌,供管理員查看和關聯。 有用的事件包括成功和失敗的登錄、被阻止的連接、新的來源位置、權限變更、文件訪問和安全配置變更。
警報在指向需要採取行動的行為時最為有用。重複的登錄失敗、特權帳戶從新位置連接或一個來源試圖訪問多個伺服器都是例子。
監控只有在組織知道如何應對時才有幫助。IT 團隊需要明確的程序來禁用帳戶、隔離主機、終止會話以及在出現可疑活動時保留證據。
遠端工作空間的常見威脅是什麼?
遠端工作空間攻擊通常結合幾個普通的弱點,而不是依賴於一個複雜的漏洞。查看可能的攻擊路徑有助於IT團隊決定哪些控制措施最值得關注。
憑證盜竊和網絡釣魚
釣魚仍然是獲取遠端存取憑證的最常見方式之一。攻擊者可能會複製 Microsoft 365 登入頁面、支援入口網站或多重身份驗證提示,以欺騙用戶批准存取。
多重身份驗證使被盜的密碼變得不那麼有用,但用戶的意識仍然很重要。特權和高風險帳戶可能還需要更強的、抗釣魚的身份驗證方法。
暴露的遠程服務
面向互聯網的遠程訪問服務不斷掃描弱密碼、已知漏洞和配置錯誤。直接暴露遠程桌面協議端口3389在有網關或經紀訪問方法可用時會帶來不必要的風險。
當無法避免公開暴露時,IT 團隊應在可行的情況下限制來源地址,迅速應用安全更新,強制執行網路層身份驗證並監控失敗的連接嘗試。
勒索病毒和登錄後活動
攻擊者通過遠程帳戶獲得訪問權限後,可能會使用合法的系統工具來探索環境、提升權限並部署勒索軟件。防止初始登錄是重要的,但一 RDS 環境的勒索軟體手冊 必須限制經過身份驗證的會話可以訪問的內容。
網絡分段、限制權限、受保護的備份和行為監控可以減少成功入侵的影響。
未管理的設備和影子 IT
個人設備和未經授權的雲端服務可能會將公司數據移出組織控制範圍。員工經常轉向這些工具,因為經批准的工作空間無法滿足實際需求。
與其僅依賴禁止,IT 團隊應該解決行為背後的工作流程。一個可靠的瀏覽器入口、經批准的文件傳輸方法或應用程式發布服務可以使影子 IT 的吸引力降低。
如何建立安全的遠端工作空間?
安全的工作空間在作為一個結構化的計劃引入時效果最佳,而不是作為一系列不相關的產品。以下的順序幫助IT團隊首先處理最重要的風險。
映射用戶、設備和資源
首先識別所有需要遠程訪問的人員。員工、承包商、管理員、管理服務提供商和其他第三方應被視為不同的群體,因為他們的需求和風險各不相同。
對於每個組別,記錄他們所需的應用程式、數據、連接時間和端點類型。這些信息為訪問政策提供了基礎。
減少不必要的暴露
以下 CISA 指導以保護遠端存取軟體 檢查每個面向互聯網的遠端存取服務,並移除任何不再需要的項目。盡可能在應用程式伺服器前放置安全閘道、反向代理或網頁入口,而不是直接公開它們。
發布單個應用程序而不是完整的桌面或網絡可以進一步減少暴露。較小的訪問面通常更容易保護和監控。
加強身份驗證
要求遠端用戶和管理員使用多因素身份驗證。特權帳戶應具備更強的條件,例如使用單獨的憑證和從批准的設備訪問。
應該啟用並監控對重複登錄嘗試的保護。密碼政策應鼓勵使用長且獨特的憑證,而不依賴可預測的輪換計劃。
應用最小權限訪問
通過用戶或基於角色的群組分配應用程序和文件。每個人應僅獲得其當前職責所需的訪問權限。
應定期檢查權限,並在員工更換角色或承包商完成工作時予以移除。管理帳戶也應與日常應用訪問所用的帳戶保持分開。
保護端點和伺服器
保持端點操作系統、瀏覽器、商業應用程序和遠程訪問軟件的最新狀態。管理的設備還應使用端點保護、防火牆政策和磁碟加密。
遠端會話主機和應用伺服器需要同樣的關注。IT 團隊應定期修補它們,移除未使用的服務,並保護它們免受暴力破解嘗試、勒索軟體活動和未經授權的配置變更。
監控完整的訪問路徑
從身份系統、遠端存取閘道、Windows 伺服器、端點工具和商業應用程式收集事件。將這些記錄整合在一起,使得查看活動序列變得比查看孤立警報更容易。
回應閾值應涵蓋重複失敗、不尋常的位置、特權登錄和在批准時間之外的訪問。政策還應在事件發生後、基礎設施變更和人力資源變更後進行審查。
測試恢復程序
備份必須在生產伺服器或憑證受到威脅時仍然可用。備份管理應單獨受到保護,並且恢復程序應定期進行測試。
事件演練應確認團隊能夠撤銷訪問、隔離系統、恢復服務並與用戶溝通。在這些程序尚未測試之前,恢復計劃仍然是一種假設。
如何選擇安全的工作空間技術?
一個安全的遠端工作空間通常結合了幾種技術,每種技術針對訪問過程的不同部分。
| 科技 | 主要目的 | 最適合於 |
|---|---|---|
| 遠端桌面服務 | 集中式 Windows 桌面和會話 | 提供完整 Windows 工作區的組織 |
| 應用程式發佈 | 所選應用程式的交付 | 不需要完整桌面的用戶 |
| 安全訪問網關 | 經紀訪問無需直接接觸伺服器 | 面向互聯網的遠程訪問環境 |
| HTML5 網頁入口網站 | 無需專用客戶端的瀏覽器訪問 | 承包商、移動用戶和混合端點 |
| 虛擬私人網路 | 加密的網絡級連接 | 需要訪問多個內部服務的用戶 |
| 多重身份驗證 | 額外身份驗證 | 所有遠端用戶,特別是管理員 |
| Endpoint protection | 惡意軟體檢測和設備防護 | 管理的筆記型電腦、桌面電腦和伺服器 |
| 安全監控 | 檢測、調查和回應 | 所有生產遠端存取環境 |
正確的架構取決於每個用戶實際需要達到的目標。在大多數情況下,IT 團隊應選擇最狹窄的訪問方法,以支持所需的工作。
如何評估安全工作空間解決方案?
產品選擇應該從組織的訪問模型開始,而不是長長的功能清單。首先,IT 團隊需要決定用戶是否需要完全的網絡訪問、完整的桌面,或僅僅是選定的應用程序。給每個人廣泛的訪問權限可能會在更有限的模型能支持相同工作的情況下,造成不必要的複雜性和風險。
評估應集中在五個領域:
- 身份和訪問控制,包括多因素身份驗證、基於角色的權限以及與現有身份服務的集成
- 應用程式和桌面的交付選項,支持安全網關或反向代理功能
- 會話安全性,包括設備重定向政策、活動限制和管理員控制
- 透過日誌、警報、報告、伺服器安全和勒索軟體防護進行監控和保護
- 操作適配,包括部署工作、修補、Windows 兼容性、可擴展性和總成本
概念驗證應使用真實的用戶、應用程序、設備和網絡條件。它還應顯示管理員如何撤銷訪問權限、調查可疑活動、應用更新以及在伺服器故障或安全事件後恢復服務。
TSplus 如何支持安全的遠程工作空間?
TSplus 高級安全性 加強支持遠程工作的 Windows 伺服器。它為受到影響的遠程桌面協議會話、應用伺服器和其他面向互聯網的 Windows 環境提供專門的保護。管理員可以集中管理這些控制,以減少暴露,而不使合法的遠程訪問變得不必要地複雜。
其主要安全功能包括:
- 暴力破解保護監控失敗的登錄嘗試,並阻止超過配置閾值的IP地址。
- 地理保護根據來源國限制進入連接。
- 勒索病毒保護可以檢測可疑的文件活動,並在攻擊擴散之前阻止受影響的進程。
- 安全會話和權限限制用戶在 Windows 會話期間可以訪問和執行的操作。
- 工作時間限制遠程連接至批准的時間表。
- 受信任的設備將訪問與授權的端點相關聯。
- 防火牆和IP管理工具幫助管理員允許、阻止和審查網絡資源。
- 安全事件、警報和報告提供對可疑活動和政策行動的可見性。
TSplus 高級安全性 應該作為分層安全策略的一部分運作,該策略還包括多因素身份驗證、端點保護、補丁管理、受保護的備份和最小特權管理。這些控制措施共同幫助 IT 團隊保護遠程工作空間免受暴力破解攻擊、勒索軟件和未經授權的訪問,而不依賴單一的防禦措施。
結論
遠端工作的安全工作空間並不是由特定的產品或連接方式所定義。它是一個分層環境,保護用戶身份、端點設備、網絡連接、遠端會話、應用程序和商業數據,形成一個連續的訪問鏈。
IT 團隊應減少不必要的暴露,強制執行強身份驗證,並在添加端點保護、伺服器加固和集中監控之前應用最小權限訪問。結合經過測試的備份和恢復程序,這些措施創造了一個彈性的工作空間,支持遠程生產力,同時限制受損帳戶、設備或會話的影響。
)
)
)
