安全数据远程访问是多种安全控制的组合,使用户能够安全地远程访问应用程序、桌面和数据等数字资源。它已成为用户在任何位置工作并因此面临各种网络威胁的商业环境中的一项关键要求。
在这篇文章中,我们将讨论安全数据远程访问为何如此重要、它的工作原理、通常与之相关的技术,以及它是如何在 Parallels® RAS(一种用于访问虚拟应用程序和桌面的高度安全的解决方案)中使用的。
安全远程访问的重要性
越来越多地采用远程和混合工作实践使企业面临大量针对远程会话不同方面的网络威胁。远程用户、远程端点设备,甚至远程会话本身都可能受到不同类型的攻击。
用户可能会遭受网络钓鱼、社会工程和身份盗窃。端点设备可能被勒索软件(或其他类型的恶意软件)感染、被盗或丢失。最后,中间人攻击可以拦截远程会话,被分布式拒绝服务 (DDoS) 攻击中断,或者被冒名顶替者劫持。
当这些实体中的任何一个(用户、端点或会话本身)受到威胁时,公司数据甚至公司的整个 IT 基础架构都可能面临风险。设法通过这些实体中的任何一个渗透到您的网络的威胁参与者然后可以使用该初始访问来建立滩头阵地并进行更复杂、更具破坏性的攻击。
现在您知道为什么不应该将安全数据远程访问视为理所当然。如果您正在寻找有关此主题的指南,我们还有一篇文章讨论了保护远程访问的最佳实践。
安全远程访问功能
当您允许用户执行远程访问时,您就冒着将这些远程会话暴露于各种威胁的风险。因此,如果您想要保护这些会话(即,如果您想要实现安全的远程访问),您将需要使用多个控件。当您结合所有这些控件时,您最终会得到一个安全的远程访问环境或系统。
本节将讨论您需要使用的一些关键控件,以使您的安全远程访问系统正常工作。
需要强身份验证
实现安全远程访问的基本要素之一是需要强身份验证。基本身份验证通常以用户名和密码登录的形式出现,可以帮助您的远程系统验证登录到它的人是否是合法用户。然而,仅靠其本身并不足以阻止技术娴熟且积极进取的攻击者。
您需要的是更强大的东西,也许是某种形式的多因素身份验证 (MFA)。这样,如果威胁者以某种方式获取了用户的密码,那么如果第二个因素未能通过身份验证,那么该威胁者仍将无法登录。稍后我们将为您提供更多相关示例。
保护端点设备
当用户执行远程访问时,通常他们从端点设备执行,例如 PC、笔记本电脑、电话、平板电脑或瘦客户端。如果用户的设备受到威胁,则从该设备执行的任何远程会话也可能受到威胁。
让我给你一个具体的例子。假设一个端点设备感染了具有类似蠕虫功能的勒索软件。如果该设备与勒索软件可以利用的服务器建立了开放连接,那么您的服务器也可能被感染。因此,保护端点设备本身很重要。同样,我们将在下一节讨论您可以执行此操作的各种方法。
保护动态数据
大多数远程访问会话都是通过 Internet 进行的,这是一个充满威胁活动的网络。在互联网上,用户会话总是有可能被拦截和窃听。一些威胁参与者正在寻求窃取用户名和密码等敏感信息,然后使用这些信息登录您的主机。
因此,您需要一种方法来保护动态数据流量。虚拟专用网络 (VPN) 和安全套接字层/传输层安全 (SSL/TLS) 等技术是实现动态数据安全的两种最常见的选择。更多关于这些在下一届会议。
对于在远程工作中使用虚拟桌面基础架构 (VDI)的用户,SSL/TLS 用于安全解决方案中,以保护 VDI 客户端和 VDI 服务器之间传输的数据。
有关 VDI 中安全远程访问的更多信息,我们建议您阅读:虚拟桌面基础架构数据安全计划的重要性。
制定安全的远程访问策略
尽管它们肯定是您的安全计划的重要组成部分,但您不能仅仅依靠技术来建立安全的数据远程访问。您还需要用户合作才能使您的安全远程访问系统正常工作。不幸的是,大多数用户没有应用安全远程访问的相同动机。通常,您需要某种“推动”来让他们合作。
在这方面,一套政策将是一个很好的起点。对于需要了解在执行远程访问时实施安全性的内容、原因和方式的用户,安全的远程访问策略可以充当护栏。
教育用户
安全策略只有在用户遵循它们时才有效。否则,他们只会坐在架子上并聚集灰尘。但是你如何让用户遵守政策?嗯,首先,他们需要了解这些政策的价值。你可以通过教育他们来帮助他们获得这种欣赏。
定期举行会议,让用户熟悉围绕远程访问的各种威胁、不解决这些威胁的后果以及他们可以采取的减轻这些威胁的措施。实际上,这将包括对您的安全策略的彻底讨论。
记录远程会话的日志
无论你多么努力,威胁总是有可能滑过你的防御。当然,您可以在实施安全措施时降低发生这种情况的可能性。现在,如果威胁确实设法避开了您的安全远程访问系统怎么办?好吧,如果您受到网络攻击,您需要执行几个过程。然而,最重要的一项是进行某种形式的数字取证,即调查。
这将使您能够深入了解攻击并了解可能受到影响的内容、攻击的执行方式、您可以采取哪些措施来防止将来发生类似事件等等。然而,为了让数字取证专家进行有效的调查,他们需要大量的证据。通常可以在您的日志中找到这些证据。
用于安全远程访问的技术
现在,让我们讨论可以帮助您实施我们刚才提到的安全控制的特定技术。
多因素身份验证
要实现多因素身份验证,通常您会将常规的基于密码的身份验证与另一个身份验证因素结合起来。基于密码的身份验证是基于用户知道什么的挑战。因此,理想情况下,您会选择基于不同因素的第二种身份验证方法,例如,用户拥有的某些东西(私钥、令牌、一次性密码或 OTP 等)或用户的某些东西(指纹、虹膜扫描、面部扫描等)。
端点安全
端点安全旨在使威胁参与者难以渗透用户的端点设备。这可能涉及多种解决方案,包括修补该设备上的操作系统和应用程序、在设备上设置防火墙、安装反恶意软件、实施硬盘加密等等。
VPN
对于动态数据保护,通常的解决方案是基于加密。最广泛使用的解决方案之一是虚拟专用网络或 VPN。通常,VPN 要求用户在其端点设备上安装 VPN 客户端软件。然后,他们将登录到该客户端,以便通过安全、加密的连接连接到公司资源。
SSL/TLS
SSL/TLS 是另一种广泛使用的动态数据加密解决方案。它通常与其他网络协议(例如 FTP、HTTP 或 WebDAV)结合使用,以生成这些协议的安全版本,例如 FTPS、HTTPS 和 WebDAVS。当您连接到 URL 上带有锁定图标的网站时,这意味着您正在使用受 SSL/TLS 保护的 HTTP 连接。
安全单点登录
单点登录 (SSO) 是一种解决方案,它使用户能够进行一次身份验证,然后允许访问与同一解决方案集成的多个应用程序和服务。提供安全 SSO 的一种特殊技术是安全断言标记语言 (SAML)。SAML 确保在身份提供者和服务提供者之间传递用户身份验证和授权的过程以安全的方式完成。
安全远程访问带来的好处
建立安全数据远程访问的那一刻,您将为您的企业带来巨大的利益。以下是您可以使用它实现的一些目标。
提高生产力
受损的 IT 环境(例如,主机或端点设备感染了恶意软件的环境)会对业务流程产生不利影响。应用程序可能响应缓慢;烦人的广告可能会不断弹出,网络可能会慢到爬行,等等。当您实施安全远程访问时,您可以防止这些不良事件的发生。
避免停机
在最坏的情况下(例如,如果您的网络被勒索软件侵占),您的整个网络可能会陷入停顿,您的业务将无法运营。在此停机期间,客户的请求将不得不被拒绝,交易将无法完成,机会将丢失。更糟糕的是,您公司的声誉可能会受到打击。同样,强大、安全的远程访问实施可以减轻这些风险。
实现监管合规
健康保险流通与责任法案 (HIPAA) 和支付卡行业数据安全标准 (PCI DSS) 等数据隐私/保护法律法规包括访问控制条款。安全的远程访问实施可以帮助您遵守与访问控制相关的要求。
增强整体安全性
如您所知,安全数据远程访问涉及多个安全控制。虽然我们的讨论主要集中在保护远程访问上,但这些控制措施还可以保护您 IT 基础架构的其他区域。例如,当您实施端点安全时,您不仅要保护执行远程访问的端点设备。即使那些仅访问局域网 (LAN) 内资源的设备也会受到保护。因此,虽然看似专注于保护远程会话,但安全远程访问计划也有助于您组织的整体安全状况。
