安全數(shù)據(jù)遠(yuǎn)程訪問是多種安全控制的組合，使用戶能夠安全地遠(yuǎn)程訪問應(yīng)用程序、桌面和數(shù)據(jù)等數(shù)字資源。它已成為用戶在任何位置工作并因此面臨各種網(wǎng)絡(luò)威脅的商業(yè)環(huán)境中的一項關(guān)鍵要求。

在這篇文章中，我們將討論安全數(shù)據(jù)遠(yuǎn)程訪問為何如此重要、它的工作原理、通常與之相關(guān)的技術(shù)，以及它是如何在 Parallels? RAS（一種用于訪問虛擬應(yīng)用程序和桌面的高度安全的解決方案）中使用的。

安全遠(yuǎn)程訪問的重要性

越來越多地采用遠(yuǎn)程和混合工作實踐使企業(yè)面臨大量針對遠(yuǎn)程會話不同方面的網(wǎng)絡(luò)威脅。遠(yuǎn)程用戶、遠(yuǎn)程端點(diǎn)設(shè)備，甚至遠(yuǎn)程會話本身都可能受到不同類型的攻擊。

用戶可能會遭受網(wǎng)絡(luò)釣魚、社會工程和身份盜竊。端點(diǎn)設(shè)備可能被勒索軟件（或其他類型的惡意軟件）感染、被盜或丟失。最后，中間人攻擊可以攔截遠(yuǎn)程會話，被分布式拒絕服務(wù) (DDoS) 攻擊中斷，或者被冒名頂替者劫持。

當(dāng)這些實體中的任何一個（用戶、端點(diǎn)或會話本身）受到威脅時，公司數(shù)據(jù)甚至公司的整個 IT 基礎(chǔ)架構(gòu)都可能面臨風(fēng)險。設(shè)法通過這些實體中的任何一個滲透到您的網(wǎng)絡(luò)的威脅參與者然后可以使用該初始訪問來建立灘頭陣地并進(jìn)行更復(fù)雜、更具破壞性的攻擊。

現(xiàn)在您知道為什么不應(yīng)該將安全數(shù)據(jù)遠(yuǎn)程訪問視為理所當(dāng)然。如果您正在尋找有關(guān)此主題的指南，我們還有一篇文章討論了保護(hù)遠(yuǎn)程訪問的最佳實踐。

安全遠(yuǎn)程訪問功能

當(dāng)您允許用戶執(zhí)行遠(yuǎn)程訪問時，您就冒著將這些遠(yuǎn)程會話暴露于各種威脅的風(fēng)險。因此，如果您想要保護(hù)這些會話（即，如果您想要實現(xiàn)安全的遠(yuǎn)程訪問），您將需要使用多個控件。當(dāng)您結(jié)合所有這些控件時，您最終會得到一個安全的遠(yuǎn)程訪問環(huán)境或系統(tǒng)。

本節(jié)將討論您需要使用的一些關(guān)鍵控件，以使您的安全遠(yuǎn)程訪問系統(tǒng)正常工作。

需要強(qiáng)身份驗證

實現(xiàn)安全遠(yuǎn)程訪問的基本要素之一是需要強(qiáng)身份驗證。基本身份驗證通常以用戶名和密碼登錄的形式出現(xiàn)，可以幫助您的遠(yuǎn)程系統(tǒng)驗證登錄到它的人是否是合法用戶。然而，僅靠其本身并不足以阻止技術(shù)嫻熟且積極進(jìn)取的攻擊者。

您需要的是更強(qiáng)大的東西，也許是某種形式的多因素身份驗證 (MFA)。這樣，如果威脅者以某種方式獲取了用戶的密碼，那么如果第二個因素未能通過身份驗證，那么該威脅者仍將無法登錄。稍后我們將為您提供更多相關(guān)示例。

保護(hù)端點(diǎn)設(shè)備

當(dāng)用戶執(zhí)行遠(yuǎn)程訪問時，通常他們從端點(diǎn)設(shè)備執(zhí)行，例如 PC、筆記本電腦、電話、平板電腦或瘦客戶端。如果用戶的設(shè)備受到威脅，則從該設(shè)備執(zhí)行的任何遠(yuǎn)程會話也可能受到威脅。

讓我給你一個具體的例子。假設(shè)一個端點(diǎn)設(shè)備感染了具有類似蠕蟲功能的勒索軟件。如果該設(shè)備與勒索軟件可以利用的服務(wù)器建立了開放連接，那么您的服務(wù)器也可能被感染。因此，保護(hù)??端點(diǎn)設(shè)備本身很重要。同樣，我們將在下一節(jié)討論您可以執(zhí)行此操作的各種方法。

保護(hù)動態(tài)數(shù)據(jù)

大多數(shù)遠(yuǎn)程訪問會話都是通過 Internet 進(jìn)行的，這是一個充滿威脅活動的網(wǎng)絡(luò)。在互聯(lián)網(wǎng)上，用戶會話總是有可能被攔截和竊聽。一些威脅參與者正在尋求竊取用戶名和密碼等敏感信息，然后使用這些信息登錄您的主機(jī)。

因此，您需要一種方法來保護(hù)動態(tài)數(shù)據(jù)流量。虛擬專用網(wǎng)絡(luò) (VPN) 和安全套接字層/傳輸層安全 (SSL/TLS) 等技術(shù)是實現(xiàn)動態(tài)數(shù)據(jù)安全的兩種最常見的選擇。更多關(guān)于這些在下一屆會議。

對于在遠(yuǎn)程工作中使用虛擬桌面基礎(chǔ)架構(gòu) (VDI)的用戶，SSL/TLS 用于安全解決方案中，以保護(hù) VDI 客戶端和 VDI 服務(wù)器之間傳輸?shù)臄?shù)據(jù)。

有關(guān) VDI 中安全遠(yuǎn)程訪問的更多信息，我們建議您閱讀：虛擬桌面基礎(chǔ)架構(gòu)數(shù)據(jù)安全計劃的重要性。

制定安全的遠(yuǎn)程訪問策略

盡管它們肯定是您的安全計劃的重要組成部分，但您不能僅僅依靠技術(shù)來建立安全的數(shù)據(jù)遠(yuǎn)程訪問。您還需要用戶合作才能使您的安全遠(yuǎn)程訪問系統(tǒng)正常工作。不幸的是，大多數(shù)用戶沒有應(yīng)用安全遠(yuǎn)程訪問的相同動機(jī)。通常，您需要某種“推動”來讓他們合作。

在這方面，一套政策將是一個很好的起點(diǎn)。對于需要了解在執(zhí)行遠(yuǎn)程訪問時實施安全性的內(nèi)容、原因和方式的用戶，安全的遠(yuǎn)程訪問策略可以充當(dāng)護(hù)欄。

教育用戶

安全策略只有在用戶遵循它們時才有效。否則，他們只會坐在架子上并聚集灰塵。但是你如何讓用戶遵守政策？嗯，首先，他們需要了解這些政策的價值。你可以通過教育他們來幫助他們獲得這種欣賞。

定期舉行會議，讓用戶熟悉圍繞遠(yuǎn)程訪問的各種威脅、不解決這些威脅的后果以及他們可以采取的減輕這些威脅的措施。實際上，這將包括對您的安全策略的徹底討論。

記錄遠(yuǎn)程會話的日志

無論你多么努力，威脅總是有可能滑過你的防御。當(dāng)然，您可以在實施安全措施時降低發(fā)生這種情況的可能性。現(xiàn)在，如果威脅確實設(shè)法避開了您的安全遠(yuǎn)程訪問系統(tǒng)怎么辦？好吧，如果您受到網(wǎng)絡(luò)攻擊，您需要執(zhí)行幾個過程。然而，最重要的一項是進(jìn)行某種形式的數(shù)字取證，即調(diào)查。

這將使您能夠深入了解攻擊并了解可能受到影響的內(nèi)容、攻擊的執(zhí)行方式、您可以采取哪些措施來防止將來發(fā)生類似事件等等。然而，為了讓數(shù)字取證專家進(jìn)行有效的調(diào)查，他們需要大量的證據(jù)。通常可以在您的日志中找到這些證據(jù)。

用于安全遠(yuǎn)程訪問的技術(shù)

現(xiàn)在，讓我們討論可以幫助您實施我們剛才提到的安全控制的特定技術(shù)。

多因素身份驗證

要實現(xiàn)多因素身份驗證，通常您會將常規(guī)的基于密碼的身份驗證與另一個身份驗證因素結(jié)合起來。基于密碼的身份驗證是基于用戶知道什么的挑戰(zhàn)。因此，理想情況下，您會選擇基于不同因素的第二種身份驗證方法，例如，用戶擁有的某些東西（私鑰、令牌、一次性密碼或 OTP 等）或用戶的某些東西（指紋、虹膜掃描、面部掃描等）。

端點(diǎn)安全

端點(diǎn)安全旨在使威脅參與者難以滲透用戶的端點(diǎn)設(shè)備。這可能涉及多種解決方案，包括修補(bǔ)該設(shè)備上的操作系統(tǒng)和應(yīng)用程序、在設(shè)備上設(shè)置防火墻、安裝反惡意軟件、實施硬盤加密等等。

VPN

對于動態(tài)數(shù)據(jù)保護(hù)，通常的解決方案是基于加密。最廣泛使用的解決方案之一是虛擬專用網(wǎng)絡(luò)或 VPN。通常，VPN 要求用戶在其端點(diǎn)設(shè)備上安裝 VPN 客戶端軟件。然后，他們將登錄到該客戶端，以便通過安全、加密的連接連接到公司資源。

SSL/TLS

SSL/TLS 是另一種廣泛使用的動態(tài)數(shù)據(jù)加密解決方案。它通常與其他網(wǎng)絡(luò)協(xié)議（例如 FTP、HTTP 或 WebDAV）結(jié)合使用，以生成這些協(xié)議的安全版本，例如 FTPS、HTTPS 和 WebDAVS。當(dāng)您連接到 URL 上帶有鎖定圖標(biāo)的網(wǎng)站時，這意味著您正在使用受 SSL/TLS 保護(hù)的 HTTP 連接。

安全單點(diǎn)登錄

單點(diǎn)登錄 (SSO) 是一種解決方案，它使用戶能夠進(jìn)行一次身份驗證，然后允許訪問與同一解決方案集成的多個應(yīng)用程序和服務(wù)。提供安全 SSO 的一種特殊技術(shù)是安全斷言標(biāo)記語言 (SAML)。SAML 確保在身份提供者和服務(wù)提供者之間傳遞用戶身份驗證和授權(quán)的過程以安全的方式完成。

安全遠(yuǎn)程訪問帶來的好處

建立安全數(shù)據(jù)遠(yuǎn)程訪問的那一刻，您將為您的企業(yè)帶來巨大的利益。以下是您可以使用它實現(xiàn)的一些目標(biāo)。

提高生產(chǎn)力

受損的 IT 環(huán)境（例如，主機(jī)或端點(diǎn)設(shè)備感染了惡意軟件的環(huán)境）會對業(yè)務(wù)流程產(chǎn)生不利影響。應(yīng)用程序可能響應(yīng)緩慢；煩人的廣告可能會不斷彈出，網(wǎng)絡(luò)可能會慢到爬行，等等。當(dāng)您實施安全遠(yuǎn)程訪問時，您可以防止這些不良事件的發(fā)生。

避免停機(jī)

在最壞的情況下（例如，如果您的網(wǎng)絡(luò)被勒索軟件侵占），您的整個網(wǎng)絡(luò)可能會陷入停頓，您的業(yè)務(wù)將無法運(yùn)營。在此停機(jī)期間，客戶的請求將不得不被拒絕，交易將無法完成，機(jī)會將丟失。更糟糕的是，您公司的聲譽(yù)可能會受到打擊。同樣，強(qiáng)大、安全的遠(yuǎn)程訪問實施可以減輕這些風(fēng)險。

實現(xiàn)監(jiān)管合規(guī)

健康保險流通與責(zé)任法案 (HIPAA) 和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 等數(shù)據(jù)隱私/保護(hù)法律法規(guī)包括訪問控制條款。安全的遠(yuǎn)程訪問實施可以幫助您遵守與訪問控制相關(guān)的要求。

增強(qiáng)整體安全性

如您所知，安全數(shù)據(jù)遠(yuǎn)程訪問涉及多個安全控制。雖然我們的討論主要集中在保護(hù)遠(yuǎn)程訪問上，但這些控制措施還可以保護(hù)您 IT 基礎(chǔ)架構(gòu)的其他區(qū)域。例如，當(dāng)您實施端點(diǎn)安全時，您不僅要保護(hù)執(zhí)行遠(yuǎn)程訪問的端點(diǎn)設(shè)備。即使那些僅訪問局域網(wǎng) (LAN) 內(nèi)資源的設(shè)備也會受到保護(hù)。因此，雖然看似專注于保護(hù)遠(yuǎn)程會話，但安全遠(yuǎn)程訪問計劃也有助于您組織的整體安全狀況。