企業網絡:安全實現遠程訪問的技巧
保護遠程訪問安全——你不得不考慮
十年前,保護遠程訪問只是少部分人需要考慮的事情:經常出差的人,行政官員,銷售人員等。不過隨著互聯網的高速發展以及移動設備的激增,形勢出現了極大改變。而且,用戶希望隨時隨地安全訪問公司網絡和服務的要求越來越強烈。
據Forrester透露,在北美和歐洲,有62%的信息工作者會常規性地進行遠程辦公。而最近一項微軟調查發現平均每個遠程工作者一個月有四天時間是在家工作。許多人在晚上或周末進行加班工作的人也需要遠程辦公。除此以外,于6月9日運營的Telework Enhancement Act要求美國政府機構起草策略以監管和促進遠程辦公。
在遠程辦公者,加班者和新的移動設備之間,IT部門面臨著前所未有的遠程訪問挑戰,因為訪問的數量巨大,且相對分散。與此同時,他們還要面對預算縮減和服從性等問題。為了幫助他們解決這一挑戰,我們想到了以下五個正出現惡替代物來幫助企業有效且安全地實現遠程訪問。
企業需要推動部署
許多企業都有延時遠程訪問架構,這樣的架構會指明誰可以接受訪問,從何種設備接入。可以是一種需要在受信任端點運行軟件的舊式VPN,因此它可以通過家用電腦或智能手機進行安全的遠程訪問。也可以是一個移動訪問網關,可以提供經驗證的,加密的無線訪問,但是僅限于一種智能手機。
當然,每種安全的遠程訪問方案都尤其局限性。不過這些方案仍然有助于我們退后一步估算企業訪問需求及其相關風險,然后在將其納入可能的方案,形成可行的策略。在某些案例中,可能出現非傳統的安全訪問替代物。不過在沒有明確的需求和風險評估的情況下你無法確定。
考慮安全的云應用
遠程訪問用戶分為兩大陣營:一類需要安全的網絡訪問,而另一類則需要安全的應用訪問——主要是信息傳送。后者通常使用由TLS作保障的 Outlook Web Access和Exchange ActiveSync;這些方案可以滿足即時需求,但不能直接用于支持其他應用。
功能擴展的必要性使得員工有可能將用戶,其智能手機和平板電腦接入公司的VPN。盡管如此,隨著云服務的增長,選擇性移動應用將成為可能。
云服務供應商InfoStreet的CEO Siamak Farah認為,對于許多中小企業而言,租賃一個安全的云應用比自己安裝一個應用要簡單。云方案供應商可以提供不可知的端點來保護對應用的訪問,中小企業要在郵件,CRM,文件共享和視頻會議中用到這些應用。雖然這可能無法滿足所有企業的需求,但是對于中小企業而言已然是個很大的進步,因為這些應用可以快速添加到受到供應商保護的服務器端。
除了云應用以外,還可以考慮使用云技術的內聯網,它可以在不接回公司網絡的情況下實現安全協作。
注意企業資產,不是指設備
正如Farah提到的,端點設備的獨立性在簡化遠程訪問操作中起著重要作用。不過允許過多設備接入并不意味著不限定設備型號或安全姿態。因此,現在許多遠程訪問VPN都會檢測端點設備的特性,評估風險,然后安裝必要的安全程序或設置——通常這些步驟不需要用戶輔助
不過,這些VPN的最佳實踐仍可以通過設備型號和所有權進行限制。智能手機和平板電腦或許從來不會像筆記本或上網本那樣支持相同的深度檢查;用戶或許對非企業所有的設備抱有合理的隱私期望。
為了避免周而復始地出現這種情況,應該將安全策略重新放在保護企業資產上,而不是接入設備。例如,虛擬桌面架構(VDI)的替代物(例如,Citrix XenDesktop, VMware View,RingCube vDesk)可將工作環境保留在數據中心里,從而將端點設備與工作環境完全隔離。
留意數據
當VDI雖然可在某些情況下充當代替物,但它不適合其他情況;特別是需要企業數據訪問的未連線用戶。在這些案例中,VPN會保護傳輸中的數據,但是必須與端點措施(例如,設備PIN,遠程擦除,磁盤加密)雙管齊下才能保護余下數據。這就是為什么IT部門長期以來致力于為遠程訪問的筆記本提供保護的原因,也是為什么要花同樣的力氣來鎖定智能手機和平板電腦的原因。
在采用這一熟悉的方法前,要對安全訪問的替代物進行評估,這些替代物將業務應用和數據從其他端點區分開來。Good for Enterprise,NitroDesk Touchdown和Enterproid Divide等產品在移動設備上創建了加密沙盒,在設備被淘汰貨丟失的時候,可以讓IT人員有一個隔離的工作環境進行配置,監控和刪除操作。
至于個人電腦或公共筆記本電腦,一個概念類似的方法被用來保護環境,如MXI Stealth Zone。這些替代物仍然使用傳統的無線保護(如,VPN隧道,SSL加密的ActiveSync)不過目標是更易于管理更具可靠性的虛擬端點。
移動性
Forrester推薦大家在規劃新內容和協作工具的時候采用“移動優先”的宗旨。現在的端點是移動的,可以從家里帶到辦公室,再帶到酒店。期望所有的遠程訪問數據流都通過邊緣設備(VPN或信息傳送網關)進入公司網絡已經不再是虛構的事物。此外,風險隨著設備在公共網絡和私有網絡之間不斷切換而發生變化。必須對其進行無界保護。
對任何安全訪問擴展物或替代物進行評估時,要考慮此方法在公司內外是否都可行。例如,VPN客戶端如Cisco AnyConnect和JunOS Pulse就具有本地識別屬性;在適合每個網絡的安全策略間進行很明顯的切換(例如,在連接上公司WLAN前保持VPN隧道的連接)。
當設備出現移動的時候,要盡量不讓安全影響到其可用性,也就是要使用助動器使用戶通過安全界面登錄。最后,不完整的策略和復制的策略會挫傷用戶的積極性。所以要尋找統一管理策略幫助IT人員貫徹一致的接入權限,方便用戶的設備在企業移動。
遠程訪問技術在進步,產品在增加,安全問題隨之變得更加重要,希望企業的負責人能充分認識到這點,安全的管理公司的網絡。
【編輯推薦】
