保護(hù)遠(yuǎn)程訪問安全——你不得不考慮

十年前，保護(hù)遠(yuǎn)程訪問只是少部分人需要考慮的事情：經(jīng)常出差的人，行政官員，銷售人員等。不過隨著互聯(lián)網(wǎng)的高速發(fā)展以及移動(dòng)設(shè)備的激增，形勢出現(xiàn)了極大改變。而且，用戶希望隨時(shí)隨地安全訪問公司網(wǎng)絡(luò)和服務(wù)的要求越來越強(qiáng)烈。

據(jù)Forrester透露，在北美和歐洲，有62%的信息工作者會(huì)常規(guī)性地進(jìn)行遠(yuǎn)程辦公。而最近一項(xiàng)微軟調(diào)查發(fā)現(xiàn)平均每個(gè)遠(yuǎn)程工作者一個(gè)月有四天時(shí)間是在家工作。許多人在晚上或周末進(jìn)行加班工作的人也需要遠(yuǎn)程辦公。除此以外，于6月9日運(yùn)營的Telework Enhancement Act要求美國政府機(jī)構(gòu)起草策略以監(jiān)管和促進(jìn)遠(yuǎn)程辦公。

在遠(yuǎn)程辦公者，加班者和新的移動(dòng)設(shè)備之間，IT部門面臨著前所未有的遠(yuǎn)程訪問挑戰(zhàn)，因?yàn)樵L問的數(shù)量巨大，且相對分散。與此同時(shí)，他們還要面對預(yù)算縮減和服從性等問題。為了幫助他們解決這一挑戰(zhàn)，我們想到了以下五個(gè)正出現(xiàn)惡替代物來幫助企業(yè)有效且安全地實(shí)現(xiàn)遠(yuǎn)程訪問。

企業(yè)需要推動(dòng)部署

許多企業(yè)都有延時(shí)遠(yuǎn)程訪問架構(gòu)，這樣的架構(gòu)會(huì)指明誰可以接受訪問，從何種設(shè)備接入?？梢允且环N需要在受信任端點(diǎn)運(yùn)行軟件的舊式VPN，因此它可以通過家用電腦或智能手機(jī)進(jìn)行安全的遠(yuǎn)程訪問。也可以是一個(gè)移動(dòng)訪問網(wǎng)關(guān)，可以提供經(jīng)驗(yàn)證的，加密的無線訪問，但是僅限于一種智能手機(jī)。

當(dāng)然，每種安全的遠(yuǎn)程訪問方案都尤其局限性。不過這些方案仍然有助于我們退后一步估算企業(yè)訪問需求及其相關(guān)風(fēng)險(xiǎn)，然后在將其納入可能的方案，形成可行的策略。在某些案例中，可能出現(xiàn)非傳統(tǒng)的安全訪問替代物。不過在沒有明確的需求和風(fēng)險(xiǎn)評估的情況下你無法確定。

考慮安全的云應(yīng)用

遠(yuǎn)程訪問用戶分為兩大陣營：一類需要安全的網(wǎng)絡(luò)訪問，而另一類則需要安全的應(yīng)用訪問——主要是信息傳送。后者通常使用由TLS作保障的 Outlook Web Access和Exchange ActiveSync;這些方案可以滿足即時(shí)需求，但不能直接用于支持其他應(yīng)用。

功能擴(kuò)展的必要性使得員工有可能將用戶，其智能手機(jī)和平板電腦接入公司的VPN。盡管如此，隨著云服務(wù)的增長，選擇性移動(dòng)應(yīng)用將成為可能。

云服務(wù)供應(yīng)商InfoStreet的CEO Siamak Farah認(rèn)為，對于許多中小企業(yè)而言，租賃一個(gè)安全的云應(yīng)用比自己安裝一個(gè)應(yīng)用要簡單。云方案供應(yīng)商可以提供不可知的端點(diǎn)來保護(hù)對應(yīng)用的訪問，中小企業(yè)要在郵件，CRM，文件共享和視頻會(huì)議中用到這些應(yīng)用。雖然這可能無法滿足所有企業(yè)的需求，但是對于中小企業(yè)而言已然是個(gè)很大的進(jìn)步，因?yàn)檫@些應(yīng)用可以快速添加到受到供應(yīng)商保護(hù)的服務(wù)器端。

除了云應(yīng)用以外，還可以考慮使用云技術(shù)的內(nèi)聯(lián)網(wǎng)，它可以在不接回公司網(wǎng)絡(luò)的情況下實(shí)現(xiàn)安全協(xié)作。

注意企業(yè)資產(chǎn)，不是指設(shè)備

正如Farah提到的，端點(diǎn)設(shè)備的獨(dú)立性在簡化遠(yuǎn)程訪問操作中起著重要作用。不過允許過多設(shè)備接入并不意味著不限定設(shè)備型號或安全姿態(tài)。因此，現(xiàn)在許多遠(yuǎn)程訪問VPN都會(huì)檢測端點(diǎn)設(shè)備的特性，評估風(fēng)險(xiǎn)，然后安裝必要的安全程序或設(shè)置——通常這些步驟不需要用戶輔助

不過，這些VPN的最佳實(shí)踐仍可以通過設(shè)備型號和所有權(quán)進(jìn)行限制。智能手機(jī)和平板電腦或許從來不會(huì)像筆記本或上網(wǎng)本那樣支持相同的深度檢查;用戶或許對非企業(yè)所有的設(shè)備抱有合理的隱私期望。

為了避免周而復(fù)始地出現(xiàn)這種情況，應(yīng)該將安全策略重新放在保護(hù)企業(yè)資產(chǎn)上，而不是接入設(shè)備。例如，虛擬桌面架構(gòu)(VDI)的替代物(例如，Citrix XenDesktop， VMware View，RingCube vDesk)可將工作環(huán)境保留在數(shù)據(jù)中心里，從而將端點(diǎn)設(shè)備與工作環(huán)境完全隔離。

留意數(shù)據(jù)

當(dāng)VDI雖然可在某些情況下充當(dāng)代替物，但它不適合其他情況;特別是需要企業(yè)數(shù)據(jù)訪問的未連線用戶。在這些案例中，VPN會(huì)保護(hù)傳輸中的數(shù)據(jù)，但是必須與端點(diǎn)措施(例如，設(shè)備PIN，遠(yuǎn)程擦除，磁盤加密)雙管齊下才能保護(hù)余下數(shù)據(jù)。這就是為什么IT部門長期以來致力于為遠(yuǎn)程訪問的筆記本提供保護(hù)的原因，也是為什么要花同樣的力氣來鎖定智能手機(jī)和平板電腦的原因。

在采用這一熟悉的方法前，要對安全訪問的替代物進(jìn)行評估，這些替代物將業(yè)務(wù)應(yīng)用和數(shù)據(jù)從其他端點(diǎn)區(qū)分開來。Good for Enterprise，NitroDesk Touchdown和Enterproid Divide等產(chǎn)品在移動(dòng)設(shè)備上創(chuàng)建了加密沙盒，在設(shè)備被淘汰貨丟失的時(shí)候，可以讓IT人員有一個(gè)隔離的工作環(huán)境進(jìn)行配置，監(jiān)控和刪除操作。

至于個(gè)人電腦或公共筆記本電腦，一個(gè)概念類似的方法被用來保護(hù)環(huán)境，如MXI Stealth Zone。這些替代物仍然使用傳統(tǒng)的無線保護(hù)(如，VPN隧道，SSL加密的ActiveSync)不過目標(biāo)是更易于管理更具可靠性的虛擬端點(diǎn)。

移動(dòng)性

Forrester推薦大家在規(guī)劃新內(nèi)容和協(xié)作工具的時(shí)候采用“移動(dòng)優(yōu)先”的宗旨?，F(xiàn)在的端點(diǎn)是移動(dòng)的，可以從家里帶到辦公室，再帶到酒店。期望所有的遠(yuǎn)程訪問數(shù)據(jù)流都通過邊緣設(shè)備(VPN或信息傳送網(wǎng)關(guān))進(jìn)入公司網(wǎng)絡(luò)已經(jīng)不再是虛構(gòu)的事物。此外，風(fēng)險(xiǎn)隨著設(shè)備在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間不斷切換而發(fā)生變化。必須對其進(jìn)行無界保護(hù)。

對任何安全訪問擴(kuò)展物或替代物進(jìn)行評估時(shí)，要考慮此方法在公司內(nèi)外是否都可行。例如，VPN客戶端如Cisco AnyConnect和JunOS Pulse就具有本地識別屬性;在適合每個(gè)網(wǎng)絡(luò)的安全策略間進(jìn)行很明顯的切換(例如，在連接上公司W(wǎng)LAN前保持VPN隧道的連接)。

當(dāng)設(shè)備出現(xiàn)移動(dòng)的時(shí)候，要盡量不讓安全影響到其可用性，也就是要使用助動(dòng)器使用戶通過安全界面登錄。最后，不完整的策略和復(fù)制的策略會(huì)挫傷用戶的積極性。所以要尋找統(tǒng)一管理策略幫助IT人員貫徹一致的接入權(quán)限，方便用戶的設(shè)備在企業(yè)移動(dòng)。

遠(yuǎn)程訪問技術(shù)在進(jìn)步，產(chǎn)品在增加，安全問題隨之變得更加重要，希望企業(yè)的負(fù)責(zé)人能充分認(rèn)識到這點(diǎn)，安全的管理公司的網(wǎng)絡(luò)。

【編輯推薦】

1. SonicWALL助力萬通亞洲實(shí)現(xiàn)安全遠(yuǎn)程訪問
2. 利用安全VPN遠(yuǎn)程訪問 確保企業(yè)內(nèi)部網(wǎng)絡(luò)安全
3. 遠(yuǎn)程訪問審計(jì)中應(yīng)包含什么？
4. 解析遠(yuǎn)程訪問入侵的三種方式
5. 讓遠(yuǎn)程訪問更安全 淺談虛擬專用網(wǎng)VPN