如何面向远程员工应用安全策略

即使员工未进办公室,身份和访问管理(IAM)解决方案也能为公司数据提供保护。

学习目标

阅读本文后,您将能够:

  • 了解管理远程团队的安全挑战
  • 了解如何在员工远程办公时保持稳固的安全态势
  • Explore how Cloudflare Zero Trust helps manage a remote workforce

复制文章链接

远程员工面临的安全挑战有哪些?

In an on-premise working environment, internal corporate IT teams usually have control over network security and the devices used to access that network. In addition, physical security teams have control over who is allowed into the office and who can access internal infrastructure.

但是,随着云计算使用量的增长,员工分散于四处变得越来越普遍。云无关位置,因为它是通过互联网而不是内部网络访问的。公司使用云后,其团队就能在任何地方办公。即便是尚未迁移到云的公司,“居家办公”也越来越成为一种选择。许多公司允许员工通过互联网或使用 VPN 远程访问其桌面。

远程办公通常利于公司保持更高的效率和敏捷性,但也可能会给保护敏感内部数据带来诸多挑战。一些最大的挑战如下:

员工端点设备可能很容易受到攻击。IT 无法直接维护远程工作者使用的笔记本电脑、台式电脑和其他端点设备。许多时候,这些可能是工作者自备的个人设备。

对数据的访问依赖于身份验证,而攻击者可以使用各种帐户接管攻击来伪造身份。网络钓鱼攻击、凭证填充攻击和暴力攻击都很常见,全部都能危害员工的帐户。

数据可能会通过不安全网络传递。一旦使用 Internet,通过各种网络连接传输的数据便有可能被攻击者截获。当远程员工使用不安全或易受攻击的 WiFi 网络时,这种风险还会加剧。比如,远程员工在提供免费 WiFi 的咖啡店使用其办公笔记本电脑,或者员工家里 WiFi 网络的密码比较弱。

远程办公安全策略如何应对这些挑战?

许多身份和访问管理(IAM)技术有助于缓解这些风险,并在保护敏感公司数据的同时确保远程团队的安全。

Secure web gateway: Secure web gateways sit in between internal employees and the unsecured Internet. They filter risky content from web traffic to stop cyber threats and prevent data loss — for instance, they can stop employees from visiting unencrypted HTTP websites that send data over the web in plaintext. They can also block risky or unauthorized user behavior. Secure web gateways can protect employees working both on-premise and remotely.

安全 Web 网关使用 DNS 过滤URL 过滤来阻止恶意网站,借助反恶意软件保护来防止端点入侵,使用数据丢失防护来检测数据泄露,同时还采用其他形式的威胁防护。例如,Cloudflare Gateway 使用浏览器隔离防止员工端点受到恶意 JavaScript 的侵害。

访问控制:访问控制解决方案跟踪并管理用户对系统和数据的访问,为防止数据泄漏提供一臂之力。实施访问控制解决方案可确保员工对公司系统的访问权限不会过高,并且没有未授权方可以获得这些系统的任何访问权限。

单点登录(SSO):远程工作者通常仰仗 SaaS 应用程序,而不是设备上本地安装的应用程序,而且还通过浏览器访问这些应用程序。然而,逐一登录这些应用程序会促使员工使用较弱的密码,并且加大 IT 管理用户访问的难度。通过使用 SSO,员工可以从单个登录屏幕同时登录其所有 SaaS 应用程序。这使得密码规则更容易实施,因为只会在一处进行;而且,IT 部门也可根据需要从单个位置添加或移除应用程序访问。

多因素身份验证(MFA):远程办公安全策略离不开强有力的用户身份验证,因为无法通过在办公室当面核验来验证员工的身份。即使最强的密码也有失守的可能,但 MFA 能够减轻帐户破解威胁,即便攻击者获得了员工的密码时也有作用。除了密码之外,MFA 还要求使用至少一种其他形式的身份验证。这样一来,攻击者若要获得用户帐户的控制权,必须以至少两种不同的方式来入侵帐户,而不是一种。增加的这一步大大降低了发生攻击的可能性。

例如,如果鲍勃的公司电子邮件帐户要求鲍勃输入密码并提供电子密钥卡中的代码才能登录,则攻击者不得不以数字方式窃取鲍勃的密码,并以物理方式盗取其密钥卡,这样才能拿下他的帐户。这样的攻击不太可能成功。

Cloudflare 如何帮助确保远程团队的安全?

Cloudflare Zero Trust is a platform built to help keep remote teams secure. It puts Cloudflare’s global edge network in front of internal applications — even on-premise applications. Cloudflare Zero Trust enables companies to implement Zero Trust security to protect their data and ensure no user has unauthorized access.

Cloudflare Gateway is also part of the Cloudflare Zero Trust product suite. Cloudflare Gateway provides visibility into Internet traffic, filters risky or forbidden websites with DNS filtering, and uses remote browser isolation to protect against malicious code that runs in the browser. Both Cloudflare Gateway and Cloudflare Zero Trust are built to do all this without impacting performance.