长期保护分布式企业的安全
淘汰远程员工队伍安全的临时修补措施
疫情迫使各组织提高分布式员工队伍的安全性。安全提升示例包括加强采用双因素身份验证和 VPN 等远程访问工具。
这些策略可以改善组织的安全态势,但它们并不能单独构成一个远程员工战略。面对疫情压力和资源限制,IT 和安全团队往往没有所需时间或预算来制定长期战略,将远程员工与跨混合云环境、SaaS 应用程��序和互联网的自托管应用连接。因此,各组织纷纷投资,在能力范围内做出改变。
不幸的是,临时修补措施可能导致可见性和安全漏洞,使远程员工的计算机和云解决方案成为网络攻击者诱人而脆弱的目标。
下面我们介绍疫情期间,组织实施的五个最常见的临时解决方案,以及与之相关的长期问题。然后,我们将讨论如何淘汰这些解决方案,采取长期更有效的员工安全战略。
远程办公中常见的临时解决方案:
1. 扩大 VPN 的使用范围
疫情初期,许多组织使用虚拟专用网络 (VPN) 连接,让远程员工安全访问企业网络。
VPN 可以作为一种有效的远程访问解决方案,但它们是为一种特殊用例设计的:少数系统的定期、短期连接。VPN 有以下几大局限,因而不适合给完全远程办公的员工持续使用:
性能差:VPN 基础设施通常是为组织中的少数员工设计的,其开销随 VPN 用户的增多呈线性增长。这意味着,远程员工的访问需求可能会使组织的 VPN 和安全基础设施不堪重负,导致性能下降甚至崩溃。
会话超时:VPN 会话超时是一个必要的安全功能。但对使用 VPN 作为访问企业网络的主要工具的远程员工来说,它们很不方便。
访问控制:VPN 没有内置的访问控制,因此无论什么角色的用户,均拥有对企业网络的完全访问权限。防火墙可以提供帮助,但许多防火墙使用基于 IP 的规则,这在设备移动性高或不断改变 IP 的云应用程序中并不奏效。下一代防火墙可能提供基于用户的访问控制,但通常缺乏灵活性,无法与许多不同标识提供程序同时运行,而且可能难以与基于云的标识提供程序集成。
缺乏身份控制:VPN 的唯一目的是在两点之间提供加密连接。需要使用额外的解决方案(例如公钥基础设施)才能确保 VPN 连接是来自获批的设备。
缺乏可见性:许多组织的 VPN 没有在第 7 层代理中终止。这意味着,组织无法了解这些连接中具体的用户交互情况——这是一个巨大的漏洞。
VPN 充其量只是一个为远程员工提供支持的临时解决方案。由于远程办公时间延长,有些组织投资了额外的 VPN 设备容量和冗余,他们将需要采取措施来缓解其局限性和安全挑战。
2. 拆分隧道 VPN
如前所述,VPN 使用量突然激增会使 VPN 服务器负担过重,并给最终用户造成网络延迟。因此,有些组织采用了拆分隧道的方法,即流向网络的流量通过 VPN 安全路由,而流向互联网的流量则直接发送至其目的地。
虽然拆分隧道 VPN 可以降低延迟,但却牺牲了安全性,特别是使组织失去了对从远程员工计算机流向互联网的流量的可见性。这使得设备可能感染未检测到的恶意软件或远程员工计算机上的敏感数据可能被盗。
此外,拆分隧道 VPN 流量意味着,远程设备不再受基于边界的防御措施的保护,增加了它们通过网络钓鱼攻击和未打补丁的软件遭到破坏的风险。如果远程设备遭到破坏,并且启用了 VPN 连接,则攻击者可以转向获取企业网络内部系统的访问权限。而当用户直接登录 SaaS 应用程序时,遭到攻击的远程设备可能试图泄露 Web 浏览器中缓存的数据。
3. 将远程访问与安全策略分开部署
在过去,组织的所有基础设施均位于本地,所以安全策略也部署在本地。云计算、SaaS 应用程序和远程办公的发展改变了这种模式。
为了改善远程访问和安全性,有些组织努力将应用程序和数据转向云部署。但这些部署通常并不同步。两个常见的错误包括:
将安全 Web 网关代理控制转移到云端——有时仅通过云应用程序安全代理 (CASB) 解决方案转移批准应用程序,但保留远程访问 VPN
将远程访问转移到云端(无论有没有 VPN 之类的客户端),同时不要将安全 Web 网关或完整的防火墙转移到云端
通过分离远程访问和安全�功能,组织损害了网络性能或安全性。通过远程访问客户端的流量可能没有经过安全检查,使远程员工容易遭遇网络钓鱼和恶意网站的攻击。另外,流量可能回传到组织的安全堆栈位置,这种安全性牺牲了员工生产力和应用程序性能。
4. 更新远程端点
允许远程员工使用个人设备工作(在疫情初期非常常见)导致了一些潜在的隐私和安全问题。在个人设备上执行企业安全策略和使用端点安全解决方案更具挑战性。因此,许多组织选择为远程员工提供公司电脑——这些电脑上已经安装了所需的安全软件,且可以根据公司策略进行配置。
然而,向远程员工提供笔记本电脑只能解决远程办公的部分安全挑战。组织还需要构建基础设施和策略,向这些远程设备分发策略和软件更新。一般而言,公司应用软件更新的速度很慢,而且远程设备接收补丁的速度也历来比公司现场的设备要慢。如果没有基础设施向远程员工推送软件更新,就会产生针对远程员工的潜在攻击手段。
5. 独立的安全解决方案
向远程办公转变给组织带来了新的安全和监控挑战。为此,安全团队寻找并部署了能够应对特定用例、通常来自各领域一流供应商的安全工具。例如,Zero Trust 网络访问 (ZTNA) 确保远程访问的安全,CASB 确保 SaaS 访问的安全,云安全 Web 网关(具有 DNS 和防火墙功能)确保互联网访问的安全。
因此,这些安全团队只能使用一系列独立、分开、有所重叠的安全工具。这只会助长大多数安全团队都面临的警报过载问题,并导致在不同工具的能力范围边界出现安全性和可见性缺口。这些可见性缺口让攻击者有机会逃走,并获得企业系统的访问权限。
构建长期的远程办公安全基础设施
如果组织仍然依赖上述一个或多个短期解决方案,填补由此产生的安全性和可见性缺口后,他们的战略将更具可持续性,长期有效。
首先,请考虑以下五项建议:
将远程访问安全服务转移到云端
远程访问安全服务确保所有企业流量在传输过程中均会加密,保持可见性,并确保企业可以执行安全检查,实施各种策略。但是,随着应用程序向云端移动,硬件 VPN 和防火墙等本地远程访问解决方案会降低应用程序性能。
如果远程访问解决方案与应用程序一起在云端运行,就不需要将流量回传到企业局域网进行检查。这改善了远程用户流量的性能和延迟问题,而且,因为这是一个基于云的解决方案,因此比基于设备的传统解决方案更具灵活性和可扩展性。
抛弃 VPN
VPN 是为已经过时、基于边界的安全模型设计的远程访问技术。它们为经过身份验证的用户提供对企业资源的完全访问权限,这违反了最低权限原则和 Zero Trust 安全。Zero Trust 策略根据具体情况逐一授予用户对特定资源的访问权限。
有些人试图通过将 VPN 转移到云端来将 VPN 现代化,这确实解决了 VPN 基础设施集中在企业局域网上的问题。但这种方法并不能解决更重要的问题,即 VPN 并非为现代分布式企业设计,因而应该使用原生支持 Zero Trust 安全模型的解决方案来取而代之。
对内部和 SaaS 应用程序的访问采用 Zero Trust 安全策略
随着在云端托管内部应用程序变得越来越普遍,攻击面也随之扩大。暴露给远程员工的每一个应用程序以及整个互联网都是潜在的攻击手段。
最大限度降低风险需要对应用程序的访问采用 Zero Trust 策略。与其允许经过身份验证的用户完全访问组织的环境和应用程序,不如根据访问控制策略和具体情况逐一授予访问权限。
要这现这一点,需要有能力在组织的整个网络中实施访问控制。这需要使用一个大型的全球网络,并有能力对自托管应用程序和 SaaS 云应用实施访问控制。
对应用程序和互联网访问实施 Zero Trust 浏览
远程员工的设备很可能比企业本地的设备更不安全。根据历史经验,远程设备应用补丁的速度较慢,而远程员工的个人设备通过企业 VPN 进行连接,可能只受到企业安全解决方案的保护。因此,远程员工面临浏览器漏洞利用和其他网络威胁的风险更高。
Zero Trust 浏览通过实施基于云的浏览器隔离来降低网络风险。不允许网页中嵌入的脚本在用户的设备上运行,而是在一次性使用、用后即可抛弃的浏览器实例上执行。
基于云的解决方案为用户浏览网站,然后向用户提供网页的副本。副本的构建应该既能保障高性能,又能提供安全性(即不增加延迟,不破坏网站,让潜在的恶意代码无法逃走)。Zero Trust 浏览为组织提供了识别和阻止数据泄露和其他网络攻击企图所需的可见性和控制权。
使用 Zero Trust 确保远程员工的安全
随着组织的网络复杂性和攻击面增加,安全团队需要能够保护其组织的解决方案。借助性能最佳的 Zero Trust 应用程序访问和互联网浏览解决方案,阻止数据丢失、恶意软件和网络钓鱼——Cloudflare Zero Trust 是一个长期的远程员工安全解决方案,包括:
Zero Trust 应用程序访问:Cloudflare Access 为 SaaS 和自托管应用程序提供 Zero Trust 应用程序访问权限,并让所有入站流量均通过 Cloudflare 的全球边缘网络进行安全检查,执行策略。
安全 Web 浏览:Cloudflare Gateway 和 Cloudflare 浏览器隔离为团队提供安全浏览,能够检测和阻止网络钓鱼、恶意软件和其他基于浏览器的攻击,并对所有浏览活动执行 Zero Trust 规则。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
阅读本文后,您将能够了解:
全球疫情期间实施的 5 种最常见的短期解决方案
这些临时解决方案造成的长期问题
构建安全远程工作基础设施的 5 项建议