什么是远程访问安全？

什么是远程访问安全？

远程访问安全（有时称为“安全远程访问”）包括协助确保只有授权用户和设备才能从企业网络外部访问内部资源的技术和流程。随着远程和混合工作的扩展，远程访问安全的重要性日益增加。

作为更广泛的安全转型的一部分，许多组织都实施了远程访问安全功能。过去，企业安全通常使用城堡与护城河模型：网络（“城堡”）内的每个人都可以自由访问数据、应用程序和其他资源。周边安全措施（包括“护城河”）将其他人拒之门外，阻止他们访问资源——除非警卫决定放下吊桥。

如今，组织每天都有大量员工在城墙外工作。将远程访问安全功能作为 Zero Trust 安全模型的一部分进行部署，可让这些组织更好地支持远程用户，而不会让应用程序和数据面临风险。

远程访问安全如何运作？

远程访问安全可以利用多种功能，包括：

基于角色的访问管理

IT 或安全团队可以设置策略，根据用户的角色授予他们访问特定资源的权限。例如，在家办公的财务团队成员可能被授予访问会计软件的权限，但无权访问用于修改公司网站的内容管理系统 (CMS)。基于角色的访问策略遵循最小特权原则，该原则主张用户只能访问他们工作所必需的内容，仅此而已。

这些策略有助于防止内部威胁，而且能够限制外部攻击者的入侵造成的损害：如果有人窃取员工的凭据，窃贼只能访问有限的资源。

强大的自适应身份验证

远程访问安全需要的远不止是简单的用户名和密码。大多数远程访问安全实施都包括多因素身份验证 (MFA)，这要求用户使用一两个额外的身份验证因素来验证其身份。用户可能需要使用通过文本发送的一次性密码、物理 USB 密钥或面部识别功能。MFA 有助于确保犯罪分子无法仅凭盗取的密码来访问企业网络。

远程访问安全还可以包括自适应身份验证或条件访问策略。例如，如果有人从非典型位置登录，他们可能需要重新进行身份验证才能获得资源访问权限。如果他们前往网络攻击风险较高的国家/地区，他们可能会被阻止访问非常敏感的系统。

虚拟专用网络/Zero Trust 网络访问

一些组织仍在使用传统的虚拟专用网络 (VPN) 服务。但 Zero Trust 网络访问 (ZTNA) 技术（Zero Trust 安全模型的核心元素）可以更好地保障远程访问安全。VPN 服务的运作方式类似于过时的城堡与护城河模型：用户登录后，便可在企业网络中自由活动。相比之下，ZTNA 仅允许连接的用户和设备访问他们已请求并被允许访问的资源。

单点登录

对于远程用户来说，单独登录多个应用程序会严重减慢工作流程。单点登录 (SSO) 功能使用户只需登录一次即可访问多个软件即服务 (SaaS) 和本地应用程序。

行为监控和分析

监控和分析用户和设备行为的工具能够对远程访问安全提供助益，这些工具可以标记异常或潜在危险的行为。例如，组织可以采用用户和实体行为分析 (UEBA) 功能、安全服务边缘 (SSE) 平台、安全信息和事件管理 (SIEM) 系统以及扩展检测和响应 (XDR) 工具。当它们识别出异常行为时，这些工具可以自动阻止对资源的访问、向管理员发出警报或启动其他响应。

远程访问安全用例

只要组织中有用户从公司安全边界之外访问内部资源，远程访问安全就十分重要，这包括以下访问形式：

• 远程和混合员工：实施远程访问安全的主要原因是保护资源，同时支持至少部分时间在公司办公室外工作的员工。
• 出差员工：即使通常在公司办公室工作的员工有时也需要出差。远程访问安全可以帮助他们访问其在办公室工作时使用的许多或所有资源。
• 第三方访问：远程访问安全可以支持承包商和合作伙伴组织。精细的访问控制可以确保这些用户及其设备只能访问特定资源，并且可能只能在有限的时间内访问。

远程访问安全有什么优点？

远程访问安全功能可帮助组织加强整体安全态势，同时支持更大的工作灵活性。通过正确的实施，组织可以：

• 更好地保护内部资源：远程访问安全有助于保护企业核心的数据、应用和其他资源。
• 缩小攻击面：远程和混合工作的增长扩大了许多组织的攻击面。远程访问安全功能可以帮助解决远程端点数量不断增长而造成的漏洞。
• 加强控制和治理：远程访问安全功能可帮助 IT 和安全团队重新控制其地理上分散的网络。管理员可以仅允许员工访问其工作所需的基本资源。
• 为远程员工提供助力：远程访问安全使员工能够随时随地高效工作。他们可以访问所需的内部资源，而不会危及安全。
• 保持合规性：远程访问安全功能可帮助组织遵守严格的数据隐私和安全法规。它们可以支持远程或混合劳动力，同时最大限度地降低内部威胁和外部攻击者入侵的风险。此外，它们还可以提供对用户活动的可见性并维护有助于证明合规性的审计跟踪。

远程访问安全有哪些限制？

远程访问安全性的有效性在很大程度上取决于其实施。如果组织未能实施关键功能，或未能将远程访问集成到更大的安全框架中，则组织可能会遇到安全漏洞，同时让用户感到沮丧并增加管理员的复杂性。

组织可能会遇到以下问题：

VPN 漏洞

仍在使用传统 VPN 服务进行远程访问安全的组织会使其网络的很大一部分暴露在外。如果一个攻击者窃取员工的 VPN 凭据，则该攻击者可能能够访问整个企业网络。ZTNA 是更好的 VPN 替代方案，因为它会根据员工的角色和权限限制网络访问。

糟糕的用户体验

如果不断要求用户以多种方式验证身份，MFA 可能会令人挫败。为了改善用户体验，管理员可以实施自适应身份验证，仅在特定情况下实施 MFA（例如当用户在非常用位置工作时），并实施 SSO 以减少身份验证请求的数量。

管理复杂性

一些组织可能会从多个供应商处购买多种解决方案或服务。这样做会增加管理复杂性，同时也可能留下安全漏洞。在单一平台内实施远程访问安全功能可以减少或消除这些挑战。

专注于远程验证

远程访问安全功能旨在解决在企业网络边界之外工作的用户和设备的问题。但许多组织也需要管理网络内实体的访问。大多数组织最好实施通用的工具，无论用户和设备位于何处，都可满足需求。

远程访问安全与 ZTNA

远程访问功能通过验证在公司网络之外工作的人员和设备来支持 Zero Trust 模型。不过，远程访问功能还不足以实现完整的 Zero Trust 实施。组织还需要实施验证网络内实体的功能，与远程访问安全互相补充。

ZTNA 可以授予人员和设备访问应用程序的权限，无论这些实体是在公司边界内部还是外部。除了验证用户的身份和角色外，ZTNA 还会评估设备、用户的位置、请求的时间和频率、请求的应用程序和数据以及其他因素。

ZTNA 解决方案提供了一些额外的功能，这些功能对于远程访问安全也是必不可少的。例如，它们可以提供 MFA 功能以及与身份提供商 (IdP)、SSO 平台或两者的集成。借助正确的 ZTNA 解决方案，组织可以加强实体验证，同时简化用户体验。

远程访问安全与身份和访问管理 (IAM)

身份和访问管理 (IAM) 可验证用户身份并控制用户权限。它可以是单一产品，也可以是流程、应用程序、云服务和硬件的组合。

IAM 是远程访问安全的一个组成部分。但远程访问安全侧重于远程用户，而 IAM 则适用于所有用户，无论他们在哪里工作。

Cloudflare 是否支持远程访问安全？

Cloudflare 的 ZTNA 服务使组织能够将远程访问安全作为其 Zero Trust 安全模型的一部分来实施。远程员工、出差员工、承包商和合作伙伴可以从任何地方安全地连接到公司资源——无论资源是在公司数据中心还是在云端。了解有关 Cloudflare Access 的更多信息。