如何面向远程员工应用安全策略

即使员工未进办公室,身份和访问管理(IAM)解决方案也能为公司数据提供保护。

Share facebook icon linkedin icon twitter icon email icon

远程员工安全

学习目标

阅读本文后,您将能够:

  • 了解管理远程团队的安全挑战
  • 了解如何在员工远程办公时保持稳固的安全态势
  • 探索 Cloudflare for Teams 如何帮助管理远程员工

远程员工面临的安全挑战有哪些?

在本地工作环境中,内部公司 IT 团队通常能够掌控网络安全以及用于访问网络的设备。此外,物理安全团队也能控制哪些人允许进入办公区域,哪些人能够访问内部基础设施。

但是,随着云计算使用量的增长,员工分散于四处变得越来越普遍。云无关位置,因为它是通过 Internet 而不是内部网络访问的。公司使用云后,其团队就能在任何地方办公。即便是尚未迁移到云的公司,“居家办公”也越来越成为一种选择。许多公司允许员工通过 Internet 或使用 VPN 远程访问其桌面。

远程办公通常利于公司保持更高的效率和敏捷性,但也可能会给保护敏感内部数据带来诸多挑战。一些最大的挑战如下:

员工端点设备可能很容易受到攻击。IT 无法直接维护远程工作者使用的笔记本电脑、台式电脑和其他设备。许多时候,这些可能是工作者自备的个人设备。

对数据的访问依赖于身份验证,而攻击者可以使用各种帐户接管攻击来伪造身份。网络钓鱼攻击、凭证填充攻击和暴力攻击都很常见,全部都能危害员工的帐户。

数据可能会通过不安全网络传递。一旦使用 Internet,通过各种网络连接传输的数据便有可能被攻击者截获。当远程员工使用不安全或易受攻击的 WiFi 网络时,这种风险还会加剧。比如,远程员工在提供免费 WiFi 的咖啡店使用其办公笔记本电脑,或者员工家里 WiFi 网络的密码比较弱。

远程办公安全策略如何应对这些挑战?

许多身份和访问管理(IAM)技术有助于缓解这些风险,并在保护敏感公司数据的同时确保远程团队的安全。

安全 Web 网关:安全 Web 网关介于内部员工和不安全 Internet 之间。它们从 Web 流量中过滤掉危险内容,以阻止网络威胁并防止数据丢失。例如,它们能够阻止员工访问通过 Web 发送纯文本数据的未加密 HTTP 网站。它们还可以阻止存在风险或未经授权的用户行为。安全 Web 网关可以保护在本地和远程办公的员工。

安全 Web 网关使用 DNS 过滤URL 过滤来阻止恶意网站,借助反恶意软件保护来防止端点入侵,同时还采用其他形式的威胁防护。例如,Cloudflare Gateway 使用浏览器隔离防止员工端点受到恶意 JavaScript 的侵害。

访问控制:访问控制解决方案跟踪并管理用户对系统和数据的访问,为防止数据泄漏提供一臂之力。实施访问控制解决方案可确保员工对公司系统的访问权限不会过高,并且没有未授权方可以获得这些系统的任何访问权限。

单点登录(SSO):远程工作者通常仰仗 SaaS 应用程序,而不是设备上本地安装的应用程序,而且还通过浏览器访问这些应用程序。然而,逐一登录这些应用程序会促使员工使用较弱的密码,并且加大 IT 管理用户访问的难度。通过使用 SSO,员工可以从单个登录屏幕同时登录其所有 SaaS 应用程序。这使得密码规则更容易实施,因为只会在一处进行;而且,IT 部门也可根据需要从单个位置添加或移除应用程序访问。

多因素身份验证(MFA):远程办公安全策略离不开强有力的用户身份验证,因为无法通过在办公室当面核验来验证员工的身份。即使最强的密码也有失守的可能,但 MFA 能够减轻帐户破解威胁,即便攻击者获得了员工的密码时也有作用。除了密码之外,MFA 还要求使用至少一种其他形式的身份验证。这样一来,攻击者若要获得用户帐户的控制权,必须以至少两种不同的方式来入侵帐户,而不是一种。增加的这一步大大降低了发生攻击的可能性。

例如,如果鲍勃的公司电子邮件帐户要求鲍勃输入密码并提供电子密钥卡中的代码才能登录,则攻击者不得不以数字方式窃取鲍勃的密码,并以物理方式盗取其密钥卡,这样才能拿下他的帐户。这样的攻击不太可能成功。

Cloudflare 如何帮助确保远程团队的安全?

Cloudflare for Teams 是为帮助确保远程团队安全而打造的产品套件。Cloudflare Access 将 Cloudflare 的全球边缘网络置于内部应用程序的前方,甚至包括企业设施内的应用程序。Cloudflare Access 帮助公司实施零信任安全,以保护其数据并确保用户仅在授权之后才能访问。

Cloudflare Gateway 也是 Cloudflare for Teams 产品套件的一员。Cloudflare Gateway 提供对 Internet 流量的可见性,通过 DNS 过滤来阻止有风险或被禁止的网站,并使用远程浏览器隔离来防范浏览器中运行的恶意代码。Cloudflare Gateway 和 Cloudflare Access 都能在不影响性能的前提下提供所有这些功能。