如何對遠端員工應用安全性原則

即使員工未進辦公室,身分和存取管理 (IAM) 解決方案也能為公司資料提供保護。

學習目標

閱讀本文後,您將能夠:

  • 瞭解管理遠端團隊的安全性挑戰
  • 瞭解如何在員工遠端工作時保持強大的安全狀態
  • 探索 Cloudflare Zero Trust 如何協助管理遠端員工

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

文章摘要:

  • 實施 Zero Trust 安全機制,驗證每個使用者和裝置,確保遠端辦公人員的安全存取,同時取代過時、易受攻擊的傳統 VPN。
  • 透過部署雲端原生工具(例如身分識別和存取管理以及 Zero Trust 網路存取)來保護分散式團隊,從而降低不斷變化的遠端辦公安全風險。
  • 透過保護雲端應用程式和端點,增強組織韌性,為在任何地點或使用任何裝置工作的員工提供無縫、高效能的連線。

遠端員工會帶來哪些安全性挑戰?

在本地工作環境中,內部企業 IT 團隊通常可以控制網路安全性和用於存取該網路的裝置。此外,實體安全性團隊可以控制允許誰進入辦公室以及誰可以存取內部基礎結構。

然而,隨著雲端運算的使用增長,分散式員工越來越普遍。雲端與位置無關,因為它是透過網際網路而不是內部網路存取的。如果一家公司使用雲端,其團隊可以在任何地方工作。即使對於尚未遷移到雲端的公司,「居家辦公」也日漸成為一項受歡迎的選擇。許多公司允許其員工透過網際網路或使用 VPN 遠端存取他們的桌上型電腦。

遠端工作通常可以協助公司提高效率和敏捷性,但它也可能為保護敏感的內部資料帶來許多挑戰。一些主要挑戰包括:

員工端點裝置可能容易受到攻擊。IT 無法直接維護遠端工作人員使用的筆記型電腦、桌上型電腦和其他端點裝置。在許多情況下,這些可能是工作人員自己的個人裝置。

對資料的存取依賴於身分驗證,攻擊者可以使用各種帳戶盜用攻擊來偽造驗證。網路釣魚攻擊、憑證填充攻擊和暴力密碼破解嘗試十分常見,所有這些都可能危及員工的帳戶。

資料可能會透過不安全的網路傳遞。使用網際網路,意味著透過各種網路連線傳輸的資料有可能被攻擊者攔截。當遠端員工使用不安全或易受攻擊的 WiFi 網路時,這種風險還會加劇。比如,如果遠端工作人員在提供免費 WiFi 的咖啡店使用工作筆記型電腦,或者當他們的家庭 WiFi 網路的密碼較弱時,風險更為嚴重。

遠端工作安全性原則如何解決這些挑戰?

安全性挑戰風險描述解決方案/緩解措施
端點裝置弱點IT 部門無法直接維護遠端工作人員使用的筆記型電腦和裝置端點保護、反惡意程式碼、遠端瀏覽器隔離
身分驗證網路釣魚、認證填充、暴力密碼破解嘗試多重要素驗證 (MFA)
不安全的網路資料經過公用 WiFi 傳輸,可能遭到攔截SWG 封鎖惡意網站並加密流量
存取管理多個 SaaS 應用程式造成管理散亂與不一致的安全政策單一登入 (SSO)
VPN 安全性限制城堡加護城河安全性模型易受攻擊Zero Trust 網路存取 (ZTNA)

許多身分識別與存取管理 (IAM) 技術可以協助降低這些風險,並確保遠端團隊的安全,同時保護敏感的公司資料。

安全 Web 閘道:安全 Web 閘道位於內部員工和不安全的網際網路之間。它們從 Web 流量中過濾有風險的內容,以阻止網路威脅並防止資料丟失。例如,他們可以阻止員工造訪以純文字形式透過 Web 傳送資料的未加密 HTTP 網站。它們還會封鎖有風險或未經授權的使用者行為。安全 Web 閘道可以保護在內部和遠端工作的員工。

安全 Web 閘道使用 DNS 篩選URL 篩選來封鎖惡意網站,使用反惡意軟體保護來防止端點入侵,使用資料丟失預防來偵測資料洩漏,以及使用其他形式的威脅防護。例如,Cloudflare Gateway使用瀏覽器隔離來保護員工端點免受惡意 JavaScript 的侵害。

存取控制:存取控制解決方案追蹤和管理使用者對系統和資料的存取,這有助於防止資料洩露。實作存取控制解決方案可確保員工不會對公司系統擁有過多的存取權限,並且未經授權的各方不會獲得對這些系統的任何存取權限。

單一登入 (SSO):遠端工作人員通常依賴 SaaS 應用程式,而不是在其裝置上本機安裝的應用程式,他們透過瀏覽器存取這些應用程式。然而,逐一登入這些應用程式會促使員工使用較弱的密碼,並且加大 IT 管理使用者存取的難度。SSO 使員工能夠從單個登入螢幕一次登入到其所有 SaaS 應用程式。這使得密碼規則更容易實施,因為只會在一處進行;而且,IT 部門也可根據需要從單個位置新增或移除應用程式存取權限。

多重要素驗證 (MFA):強大的使用者驗證對於遠端工作安全性原則至關重要,因為無法使用員工實際位於辦公室這一點來驗證他們的身分。即使是最強的密碼也可能遭到入侵,但即使攻擊者獲取了員工的密碼,MFA 也會降低帳戶入侵的威脅。除了密碼之外,MFA 還要求使用至少一種其他形式的驗證。這樣一來,攻擊者若要獲得使用者帳戶的控制權,必須以至少兩種不同的方式來入侵帳戶,而不是一種。這個額外的步驟使攻擊發生的可能性大大降低。

例如,如果 Bob 的公司電子郵件帳戶要求 Bob 輸入密碼和電子金鑰卡中的代碼才能登入,則攻擊者必須以數位方式竊取 Bob 的密碼並實際竊取他的金鑰卡才能入侵他的帳戶。這樣的攻擊不太可能成功。

Cloudflare 如何協助確保遠端團隊的安全?

Cloudflare Zero Trust 是一個平台,旨在協助確保遠端團隊的安全。其將 Cloudflare的全球邊緣網路置於內部應用程式(甚至是內部部署應用程式)之前。Cloudflare Zero Trust 使公司能夠實作 Zero Trust 安全性來保護其資料並確保沒有使用者進行未經授權的存取。

Cloudflare Gateway 也是 Cloudflare Zero Trust 產品套件的一部分。Cloudflare Gateway 提供對網際網路流量的可見性,透過 DNS 篩選篩選有風險或禁止的網站,並使用遠端瀏覽器隔離來防止在瀏覽器中執行惡意程式碼。Cloudflare Gateway 和 Cloudflare Zero Trust 都是為了在不影響效能的情況下完成所有這些工作而構建的網路安全解決方案

常見問題集

員工遠端工作會導致哪些主要安全問題?

當員工遠端工作時,他們的裝置可能較易受到攻擊,因為 IT 團隊無法直接管理這些裝置。此外,驗證使用者身分也變得更加困難,這為各種帳戶盜用攻擊(例如網路釣魚與認證填充攻擊)敞開了大門。透過不安全的網路傳輸資料也會帶來風險,尤其是當員工使用公用 Wi-Fi 或家中網路密碼強度不足時。 

組織應如何應對遠端員工所帶來的安全性挑戰?

組織可以透過實施身分識別和存取管理 (IAM) 技術來降低這些風險。這些技術包括安全 Web 閘道、存取控制解決方案、單一登入 (SSO) 功能和多重要素驗證 (MFA)。 

什麼是安全 Web 閘道?它如何保障遠端工作安全性?

安全 Web 閘道可作為員工和網際網路之間的中介,篩選掉 Web 流量中的有害內容,從而防範網路威脅和資料外洩。它還可以防止員工參與危險的線上行為。這些閘道採用網域名稱系統 (DNS) 篩選、URL 篩選、反惡意程式碼保護和資料丟失預防等技術,保護本地員工和遠端員工的安全。 

為什麼強化的使用者驗證對於遠端工作至關重要,以及多重要素驗證 (MFA) 如何提供協助?

強化的使用者驗證對於遠端工作至關重要,因為員工是否身在辦公室已無法作為身分驗證的依據。即使攻擊者取得了員工的密碼,MFA 仍能顯著降低帳號遭盜用的風險,因為它會要求額外的驗證方式,使得攻擊成功的可能性大幅降低。 

單一登入 (SSO) 如何增強遠端團隊的安全性和使用者體驗?

SSO 可簡化遠端工作者存取多個雲端應用程式的流程。員工無需記住多組密碼,只需透過單一登入畫面即可存取所有應用程式。這不僅簡化了 IT 部門執行密碼政策的流程,也讓應用程式存取的管理更加輕鬆。 

Cloudflare 的 Zero Trust 平台如何支援遠端團隊的安全性?

Cloudflare 的 Zero Trust 平台旨在透過擴展 Cloudflare 的全球邊緣網路至內部應用程式(包括本地托管的應用程式),來保護遠端團隊。這使公司能夠採用 Zero Trust 安全模型,確保無論使用者身在何處,都無法未經授權存取敏感資料。 

Cloudflare Gateway 在 Cloudflare Zero Trust 套件中扮演什麼角色?

Cloudflare Gateway 是 Cloudflare Zero Trust 產品套件中不可或缺的一部分。它提供對網際網路流量的可見度,透過 DNS 篩選封鎖危險或禁止的網站,並採用遠端瀏覽器隔離技術,保護員工裝置免受網頁瀏覽器中惡意程式碼的侵害。這些功能的實現絲毫不會影響效能。