什麼是遠端存取安全性?

遠端存取安全性讓使用者和裝置能夠從企業網路以外安全地存取內部資源。

學習目標

閱讀本文後,您將能夠:

  • 定義「遠端存取安全性」
  • 瞭解遠端存取安全性的運作方式
  • 探索遠端存取安全性的使用案例和優點

複製文章連結

什麼是遠端存取安全性?

遠端存取安全(有時稱為「安全遠端存取」)包括協助確保只有授權使用者和裝置才能從企業網路外部存取內部資源的技術和程序。隨著遠端和混合式工作的擴展,遠端存取安全性的重要性日益增加。

作為更廣泛的安全轉型的一部分,許多組織都實施了遠端存取安全性功能。過去,企業安全通常使用城堡加護城河模型:網路(「城堡」)內的每個人都可以自由存取資料、應用程式和其他資源。周邊安全措施(包括「護城河」)將其他人拒之門外,阻止他們存取資源——除非警衛決定放下吊橋。

如今,組織每天都有大量員工在城牆外工作。將遠端存取安全功能作為 Zero Trust 安全性模型的一部分進行部署,可讓這些組織更好地支援遠端使用者,而不會讓應用程式和資料面臨風險。

遠端存取安全性如何運作?

遠端存取安全性可以採用多種功能,包括:

基於角色的存取管理

IT 或安全團隊可以設定原則,根據使用者的角色授予他們存取特定資源的權限。例如,在家辦公的財務團隊成員可能被授予存取會計軟體的權限,但無權存取用於修改公司網站的內容管理系統 (CMS)。基於角色的存取原則遵循最低權限原則,該原則主張使用者只能存取他們工作所必需的內容,僅此而已。

這些策略有助於防止內部人員威脅,而且能夠限制外部攻擊者的入侵造成的損害:如果有人竊取員工的憑據,竊賊只能存取有限的資源。

強大的適應性驗證

遠端存取安全性需要的遠不止是簡單的使用者名稱和密碼。大多數遠端存取安全性實作都包括多重要素驗證 (MFA),這要求使用者使用一兩個額外的驗證因素來驗證其身分。使用者可能需要使用透過簡訊傳送的單次密碼、實體 USB 金鑰或面部識別功能。MFA 有助於確保犯罪分子無法僅憑盜取的密碼來存取企業網路。

遠端存取安全性還可以包括適應性驗證或條件存取原則。例如,如果有人從非典型位置登入,他們可能需要重新進行驗證才能獲得資源存取權限。如果他們前往網路攻擊風險較高的國家/地區,他們可能會被阻止存取非常敏感的系統。

虛擬私人網路/Zero Trust 網路存取

一些組織仍在使用傳統的虛擬私人網路 (VPN) 服務。但 Zero Trust 網路存取 (ZTNA) 技術(Zero Trust 安全模型的核心元素)可以更好地保障遠端存取安全。VPN 服務的運作方式類似於過時的城堡加護城河模型:使用者登入後,便可在企業網路中自由活動。相比之下,ZTNA 僅允許連接的使用者和裝置存取他們已請求並被允許存取的資源。

單一登入

對於遠端使用者來說,單獨登入多個應用程式會嚴重減慢工作流程。單一登入 (SSO) 功能讓使用者只需登入一次即可存取多個軟體即服務 (SaaS) 和內部部署應用程式。

行為監控和分析

監控和分析使用者和裝置行為的工具能夠對遠端存取安全性提供助益,這些工具可以標記異常或潛在危險的行為。例如,組織可以採用使用者和實體行為分析 (UEBA) 功能、安全服務邊緣 (SSE) 平台、安全資訊和事件管理 (SIEM) 系統以及擴展偵測和回應 (XDR) 工具。當它們識別出異常行為時,這些工具可以自動封鎖對資源的存取、向管理員發出警示或啟動其他回應。

遠端存取安全性使用案例

只要組織中有使用者從公司安全周邊之外存取內部資源,遠端存取安全性就十分重要,這包括以下存取形式:

  • 遠端和混合員工:實施遠端存取安全性的主要原因是保護資源,同時支援至少部分時間在公司辦公室外工作的員工。
  • 出差員工:即使通常在公司辦公室工作的員工有時也需要出差。遠端存取安全性可以幫助他們存取其在辦公室工作時使用的許多或所有資源。
  • 第三方存取:遠端存取安全性可以支援承包商和合作夥伴組織。精細的存取控制可以確保這些使用者及其裝置只能存取特定資源,並且可能只能在有限的時間內存取。

遠端存取安全性有哪些優點?

遠端存取安全性功能可協助組織加強整體安全狀態,同時支援更大的工作靈活性。透過正確的實施,組織可以:

  • 更好地保護內部資源:遠端存取安全性有助於保護企業核心的資料、應用程式和其他資源。
  • 縮小攻擊面:遠端和混合式工作的成長擴大了許多組織的攻擊面。遠端存取安全性功能可以幫助解決遠端端點數量不斷增長而造成的漏洞。
  • 加強控制和治理:遠端存取安全性功能可幫助 IT 和安全團隊重新控制其地理上分散的網路。管理員可以僅允許員工存取其工作所需的基本資源。
  • 為遠端員工提供助力:遠端存取安全性使員工能夠隨時隨地高效工作。他們可以存取所需的內部資源,而不會危及安全。
  • 保持合規性:遠端存取安全性功能可協助組織遵守嚴格的資料隱私和安全法規。它們可以支援遠端或混合員工,同時最大限度地降低內部人員威脅和外部攻擊者入侵的風險。此外,它們還可以提供對使用者活動的可見性並維護有助於證明合規性的稽核記錄。
  • 遠端存取安全性有哪些限制?

    遠端存取安全性的有效性在很大程度上取決於其實施。如果組織未能實施關鍵功能,或未能將遠端存取整合到更大的安全性架構中,則組織可能會遇到安全性漏洞,同時讓使用者感到沮喪並增加管理員的複雜性。

    組織可能會遇到以下問題:

    VPN 漏洞

    仍在使用傳統 VPN 服務進行遠端存取安全的組織會使其網路的很大一部分暴露在外。如果一個攻擊者竊取員工的 VPN 憑據,則該攻擊者可能能夠存取整個企業網路。ZTNA 是更好的 VPN 替代方案,因為它會根據員工的角色和權限限制網路存取。

    不佳的使用者體驗

    如果不斷要求使用者以多種方式驗證身分,MFA 可能會令人挫敗。為了改善使用者體驗,管理員可以實施適應性驗證,僅在特定情況下實施 MFA(例如當使用者在非常用位置工作時),並實施 SSO 以減少驗證請求的數量。

    管理複雜性

    一些組織可能會從多個廠商處購買多種解決方案或服務。這樣做會增加管理複雜性,同時也可能留下安全性漏洞。在單一平台內實施遠端存取安全性功能可以減少或消除這些挑戰。

    專注於遠端驗證

    遠端存取安全性功能旨在解決在企業網路週邊之外工作的使用者和裝置的問題。但許多組織也需要管理網路內實體的存取。大多數組織最好實施通用的工具,無論使用者和裝置位於何處,都可滿足需求。

    遠端存取安全性與 ZTNA

    遠端存取功能透過驗證在公司網路之外工作的人員和裝置來支援 Zero Trust 模型。不過,遠端存取功能還不足以實現完整的 Zero Trust 實施。組織還需要實施驗證網路內實體的功能,與遠端存取安全性互相補充。

    ZTNA 可以授予人員和裝置存取應用程式的權限,無論這些實體是在公司週邊內部還是外部。除了驗證使用者的身分和角色外,ZTNA 還會評估裝置、使用者的位置、請求的時間和頻率、請求的應用程式和資料以及其他因素。

    ZTNA 解決方案提供了一些額外的功能,這些功能對於遠端存取安全性也是必不可少的。例如,它們可以提供 MFA 功能以及與身分識別提供者 (IdP)、SSO 平台或兩者的整合。藉助正確的 ZTNA 解決方案,組織可以加強實體驗證,同時簡化使用者體驗。

    遠端存取安全性和身分識別與存取管理 (IAM)

    身分識別與存取管理 (IAM) 可驗證使用者身分並控制使用者權限。它可以是單一產品,也可以是程序、應用程式、雲端服務和硬體的組合。

    IAM 是遠端存取安全性的一個組成部分。但遠端存取安全性側重于遠端使用者,而 IAM 則適用於所有使用者,無論他們在哪裡工作。

    Cloudflare 是否支援遠端存取安全性?

    Cloudflare 的 ZTNA 服務使組織能夠將遠端存取安全性作為其 Zero Trust 安全性模型的一部分來實施。遠端員工、出差員工、承包商和合作夥伴可以從任何地方安全地連接到公司資源——無論資源是在公司資料中心還是在雲端。瞭解有關 Cloudflare Access 的更多資訊。