远程访问安全使用户和设备能够从企业网络之外安全地访问内部资源。
阅读本文后,您将能够:
复制文章链接
远程访问安全(有时称为“安全远程访问”)包括协助确保只有授权用户和设备才能从企业网络外部访问内部资源的技术和流程。随着远程和混合工作的扩展,远程访问安全的重要性日益增加。
作为更广泛的安全转型的一部分,许多组织都实施了远程访问安全功能。过去,企业安全通常使用城堡与护城河模型:网络(“城堡”)内的每个人都可以自由访问数据、应用程序和其他资源。周边安全措施(包括“护城河”)将其他人拒之门外,阻止他们访问资源——除非警卫决定放下吊桥。
如今,组织每天都有大量员工在城墙外工作。将远程访问安全功能作为 Zero Trust 安全模型的一部分进行部署,可让这些组织更好地支持远程用户,而不会让应用程序和数据面临风险。
远程访问安全可以利用多种功能,包括:
IT 或安全团队可以设置策略,根据用户的角色授予他们访问特定资源的权限。例如,在家办公的财务团队成员可能被授予访问会计软件的权限,但无权访问用于修改公司网站的内容管理系统 (CMS)。基于角色的访问策略遵循最小特权原则,该原则主张用户只能访问他们工作所必需的内容,仅此而已。
这些策略有助于防止内部威胁,而且能够限制外部攻击者的入侵造成的损害:如果有人窃取员工的凭据,窃贼只能访问有限的资源。
远程访问安全需要的远不止是简单的用户名和密码。大多数远程访问安全实施都包括多因素身份验证 (MFA),这要求用户使用一两个额外的身份验证因素来验证其身份。用户可能需要使用通过文本发送的一次性密码、物理 USB 密钥或面部识别功能。MFA 有助于确保犯罪分子无法仅凭盗取的密码来访问企业网络。
远程访问安全还可以包括自适应身份验证或条件访问策略。例如,如果有人从非典型位置登录,他们可能需要重新进行身份验证才能获得资源访问权限。如果他们前往网络攻击风险较高的国家/地区,他们可能会被阻止访问非常敏感的系统。
一些组织仍在使用传统的虚拟专用网络 (VPN) 服务。但 Zero Trust 网络访问 (ZTNA) 技术(Zero Trust 安全模型的核心元素)可以更好地保障远程访问安全。VPN 服务的运作方式类似于过时的城堡与护城河模型:用户登录后,便可在企业网络中自由活动。相比之下,ZTNA 仅允许连接的用户和设备访问他们已请求并被允许访问的资源。
对于远程用户来说,单独登录多个应用程序会严重减慢工作流程。单点登录 (SSO) 功能使用户只需登录一次即可访问多个软件即服务 (SaaS) 和本地应用程序。
监控和分析用户和设备行为的工具能够对远程访问安全提供助益,这些工具可以标记异常或潜在危险的行为。例如,组织可以采用用户和实体行为分析 (UEBA) 功能、安全服务边缘 (SSE) 平台、安全信息和事件管理 (SIEM) 系统以及扩展检测和响应 (XDR) 工具。当它们识别出异常行为时,这些工具可以自动阻止对资源的访问、向管理员发出警报或启动其他响应。
只要组织中有用户从公司安全边界之外访问内部资源,远程访问安全就十分重要,这包括以下访问形式:
远程访问安全功能可帮助组织加强整体安全态势,同时支持更大的工作灵活性。通过正确的实施,组织可以:
远程访问安全性的有效性在很大程度上取决于其实施。如果组织未能实施关键功能,或未能将远程访问集成到更大的安全框架中,则组织可能会遇到安全漏洞,同时让用户感到沮丧并增加管理员的复杂性。
组织可能会遇到以下问题:
仍在使用传统 VPN 服务进行远程访问安全的组织会使其网络的很大一部分暴露在外。如果一个攻击者窃取员工的 VPN 凭据,则该攻击者可能能够访问整个企业网络。ZTNA 是更好的 VPN 替代方案,因为它会根据员工的角色和权限限制网络访问。
如果不断要求用户以多种方式验证身份,MFA 可能会令人挫败。为了改善用户体验,管理员可以实施自适应身份验证,仅在特定情况下实施 MFA(例如当用户在非常用位置工作时),并实施 SSO 以减少身份验证请求的数量。
一些组织可能会从多个供应商处购买多种解决方案或服务。这样做会增加管理复杂性,同时也可能留下安全漏洞。在单一平台内实施远程访问安全功能可以减少或消除这些挑战。
远程访问安全功能旨在解决在企业网络边界之外工作的用户和设备的问题。但许多组织也需要管理网络内实体的访问。大多数组织最好实施通用的工具,无论用户和设备位于何处,都可满足需求。
远程访问功能通过验证在公司网络之外工作的人员和设备来支持 Zero Trust 模型。不过,远程访问功能还不足以实现完整的 Zero Trust 实施。组织还需要实施验证网络内实体的功能,与远程访问安全互相补充。
ZTNA 可以授予人员和设备访问应用程序的权限,无论这些实体是在公司边界内部还是外部。除了验证用户的身份和角色外,ZTNA 还会评估设备、用户的位置、请求的时间和频率、请求的应用程序和数据以及其他因素。
ZTNA 解决方案提供了一些额外的功能,这些功能对于远程访问安全也是必不可少的。例如,它们可以提供 MFA 功能以及与身份提供商 (IdP)、SSO 平台或两者的集成。借助正确的 ZTNA 解决方案,组织可以加强实体验证,同时简化用户体验。
身份和访问管理 (IAM) 可验证用户身份并控制用户权限。它可以是单一产品,也可以是流程、应用程序、云服务和硬件的组合。
IAM 是远程访问安全的一个组成部分。但远程访问安全侧重于远程用户,而 IAM 则适用于所有用户,无论他们在哪里工作。
Cloudflare 的 ZTNA 服务使组织能够将远程访问安全作为其 Zero Trust 安全模型的一部分来实施。远程员工、出差员工、承包商和合作伙伴可以从任何地方安全地连接到公司资源——无论资源是在公司数据中心还是在云端。了解有关 Cloudflare Access 的更多信息。
Zero Trust 网络访问 (ZTNA) 是一种安全模型,它会验证每个用户和设备,然后再授予对应用访问权限,无论这些用户和设备位于受信任的安全网络内部还是外部。ZTNA 通过消除隐式信任、验证设备并要求进行持续身份验证才能访问所有资源,从而增强远程访问安全。ZTNA 还使通过受感染的设备或用户进行横向移动变得更加困难:采用 ZTNA,联网设备无法看到网络上除其所连接的资源之外的任何其他资源。
上下文感知访问控制利用用户位置、设备运行状况以及行为模式等实时因素来做出访问决策。这种方法通过根据当前风险上下文调整访问权限,从而实现更有效的安全控制。例如,来自世界另一端的突然登录尝试,可能会遭到质询或拒绝。
设备态势评估会验证连接设备是否满足安全要求,然后才允许设备访问网络。作为 Zero Trust 安全方法的一部分,设备态势评估可以防止遭到入侵或不合规设备访问敏感的公司资源。例如,如果设备运行过时的软件版本、存在未修补的漏洞、运行不安全的应用或违反安全策略,则可能会被拒绝访问。
软件定义边界 (SDP) 会对未经授权的用户隐藏网络资源。它在用户与特定资源之间建立一对一连接,这将显著减少攻击面。
基于身份的分段是一种微分段。它会执行基于应用/工作负载身份的安全和访问策略。这是一种降低攻击者或内部恶意行为者横向移动几率的方法,无论他们身在何处。
入门
关于访问管理
关于零信任
VPN 资源
词汇
学习中心导航