安全數據遠程訪問是多種安全控制的組合,使用戶能夠安全地遠程訪問應用程序、桌面和數據等數字資源。它已成為用戶在任何位置工作并因此面臨各種網絡威脅的商業環境中的一項關鍵要求。
在這篇文章中,我們將討論安全數據遠程訪問為何如此重要、它的工作原理、通常與之相關的技術,以及它是如何在 Parallels? RAS(一種用于訪問虛擬應用程序和桌面的高度安全的解決方案)中使用的。
安全遠程訪問的重要性
越來越多地采用遠程和混合工作實踐使企業面臨大量針對遠程會話不同方面的網絡威脅。遠程用戶、遠程端點設備,甚至遠程會話本身都可能受到不同類型的攻擊。
用戶可能會遭受網絡釣魚、社會工程和身份盜竊。端點設備可能被勒索軟件(或其他類型的惡意軟件)感染、被盜或丟失。最后,中間人攻擊可以攔截遠程會話,被分布式拒絕服務 (DDoS) 攻擊中斷,或者被冒名頂替者劫持。
當這些實體中的任何一個(用戶、端點或會話本身)受到威脅時,公司數據甚至公司的整個 IT 基礎架構都可能面臨風險。設法通過這些實體中的任何一個滲透到您的網絡的威脅參與者然后可以使用該初始訪問來建立灘頭陣地并進行更復雜、更具破壞性的攻擊。
現在您知道為什么不應該將安全數據遠程訪問視為理所當然。如果您正在尋找有關此主題的指南,我們還有一篇文章討論了保護遠程訪問的最佳實踐。
安全遠程訪問功能
當您允許用戶執行遠程訪問時,您就冒著將這些遠程會話暴露于各種威脅的風險。因此,如果您想要保護這些會話(即,如果您想要實現安全的遠程訪問),您將需要使用多個控件。當您結合所有這些控件時,您最終會得到一個安全的遠程訪問環境或系統。
本節將討論您需要使用的一些關鍵控件,以使您的安全遠程訪問系統正常工作。
需要強身份驗證
實現安全遠程訪問的基本要素之一是需要強身份驗證。基本身份驗證通常以用戶名和密碼登錄的形式出現,可以幫助您的遠程系統驗證登錄到它的人是否是合法用戶。然而,僅靠其本身并不足以阻止技術嫻熟且積極進取的攻擊者。
您需要的是更強大的東西,也許是某種形式的多因素身份驗證 (MFA)。這樣,如果威脅者以某種方式獲取了用戶的密碼,那么如果第二個因素未能通過身份驗證,那么該威脅者仍將無法登錄。稍后我們將為您提供更多相關示例。
保護端點設備
當用戶執行遠程訪問時,通常他們從端點設備執行,例如 PC、筆記本電腦、電話、平板電腦或瘦客戶端。如果用戶的設備受到威脅,則從該設備執行的任何遠程會話也可能受到威脅。
讓我給你一個具體的例子。假設一個端點設備感染了具有類似蠕蟲功能的勒索軟件。如果該設備與勒索軟件可以利用的服務器建立了開放連接,那么您的服務器也可能被感染。因此,保護??端點設備本身很重要。同樣,我們將在下一節討論您可以執行此操作的各種方法。
保護動態數據
大多數遠程訪問會話都是通過 Internet 進行的,這是一個充滿威脅活動的網絡。在互聯網上,用戶會話總是有可能被攔截和竊聽。一些威脅參與者正在尋求竊取用戶名和密碼等敏感信息,然后使用這些信息登錄您的主機。
因此,您需要一種方法來保護動態數據流量。虛擬專用網絡 (VPN) 和安全套接字層/傳輸層安全 (SSL/TLS) 等技術是實現動態數據安全的兩種最常見的選擇。更多關于這些在下一屆會議。
對于在遠程工作中使用虛擬桌面基礎架構 (VDI)的用戶,SSL/TLS 用于安全解決方案中,以保護 VDI 客戶端和 VDI 服務器之間傳輸的數據。
有關 VDI 中安全遠程訪問的更多信息,我們建議您閱讀:虛擬桌面基礎架構數據安全計劃的重要性。
制定安全的遠程訪問策略
盡管它們肯定是您的安全計劃的重要組成部分,但您不能僅僅依靠技術來建立安全的數據遠程訪問。您還需要用戶合作才能使您的安全遠程訪問系統正常工作。不幸的是,大多數用戶沒有應用安全遠程訪問的相同動機。通常,您需要某種“推動”來讓他們合作。
在這方面,一套政策將是一個很好的起點。對于需要了解在執行遠程訪問時實施安全性的內容、原因和方式的用戶,安全的遠程訪問策略可以充當護欄。
教育用戶
安全策略只有在用戶遵循它們時才有效。否則,他們只會坐在架子上并聚集灰塵。但是你如何讓用戶遵守政策?嗯,首先,他們需要了解這些政策的價值。你可以通過教育他們來幫助他們獲得這種欣賞。
定期舉行會議,讓用戶熟悉圍繞遠程訪問的各種威脅、不解決這些威脅的后果以及他們可以采取的減輕這些威脅的措施。實際上,這將包括對您的安全策略的徹底討論。
記錄遠程會話的日志
無論你多么努力,威脅總是有可能滑過你的防御。當然,您可以在實施安全措施時降低發生這種情況的可能性。現在,如果威脅確實設法避開了您的安全遠程訪問系統怎么辦?好吧,如果您受到網絡攻擊,您需要執行幾個過程。然而,最重要的一項是進行某種形式的數字取證,即調查。
這將使您能夠深入了解攻擊并了解可能受到影響的內容、攻擊的執行方式、您可以采取哪些措施來防止將來發生類似事件等等。然而,為了讓數字取證專家進行有效的調查,他們需要大量的證據。通常可以在您的日志中找到這些證據。
用于安全遠程訪問的技術
現在,讓我們討論可以幫助您實施我們剛才提到的安全控制的特定技術。
多因素身份驗證
要實現多因素身份驗證,通常您會將常規的基于密碼的身份驗證與另一個身份驗證因素結合起來。基于密碼的身份驗證是基于用戶知道什么的挑戰。因此,理想情況下,您會選擇基于不同因素的第二種身份驗證方法,例如,用戶擁有的某些東西(私鑰、令牌、一次性密碼或 OTP 等)或用戶的某些東西(指紋、虹膜掃描、面部掃描等)。
端點安全
端點安全旨在使威脅參與者難以滲透用戶的端點設備。這可能涉及多種解決方案,包括修補該設備上的操作系統和應用程序、在設備上設置防火墻、安裝反惡意軟件、實施硬盤加密等等。
VPN
對于動態數據保護,通常的解決方案是基于加密。最廣泛使用的解決方案之一是虛擬專用網絡或 VPN。通常,VPN 要求用戶在其端點設備上安裝 VPN 客戶端軟件。然后,他們將登錄到該客戶端,以便通過安全、加密的連接連接到公司資源。
SSL/TLS
SSL/TLS 是另一種廣泛使用的動態數據加密解決方案。它通常與其他網絡協議(例如 FTP、HTTP 或 WebDAV)結合使用,以生成這些協議的安全版本,例如 FTPS、HTTPS 和 WebDAVS。當您連接到 URL 上帶有鎖定圖標的網站時,這意味著您正在使用受 SSL/TLS 保護的 HTTP 連接。
安全單點登錄
單點登錄 (SSO) 是一種解決方案,它使用戶能夠進行一次身份驗證,然后允許訪問與同一解決方案集成的多個應用程序和服務。提供安全 SSO 的一種特殊技術是安全斷言標記語言 (SAML)。SAML 確保在身份提供者和服務提供者之間傳遞用戶身份驗證和授權的過程以安全的方式完成。
安全遠程訪問帶來的好處
建立安全數據遠程訪問的那一刻,您將為您的企業帶來巨大的利益。以下是您可以使用它實現的一些目標。
提高生產力
受損的 IT 環境(例如,主機或端點設備感染了惡意軟件的環境)會對業務流程產生不利影響。應用程序可能響應緩慢;煩人的廣告可能會不斷彈出,網絡可能會慢到爬行,等等。當您實施安全遠程訪問時,您可以防止這些不良事件的發生。
避免停機
在最壞的情況下(例如,如果您的網絡被勒索軟件侵占),您的整個網絡可能會陷入停頓,您的業務將無法運營。在此停機期間,客戶的請求將不得不被拒絕,交易將無法完成,機會將丟失。更糟糕的是,您公司的聲譽可能會受到打擊。同樣,強大、安全的遠程訪問實施可以減輕這些風險。
實現監管合規
健康保險流通與責任法案 (HIPAA) 和支付卡行業數據安全標準 (PCI DSS) 等數據隱私/保護法律法規包括訪問控制條款。安全的遠程訪問實施可以幫助您遵守與訪問控制相關的要求。
增強整體安全性
如您所知,安全數據遠程訪問涉及多個安全控制。雖然我們的討論主要集中在保護遠程訪問上,但這些控制措施還可以保護您 IT 基礎架構的其他區域。例如,當您實施端點安全時,您不僅要保護執行遠程訪問的端點設備。即使那些僅訪問局域網 (LAN) 內資源的設備也會受到保護。因此,雖然看似專注于保護遠程會話,但安全遠程訪問計劃也有助于您組織的整體安全狀況。
