十年前,保护远程访问只是少部分人需要考虑的事情:经常出差的人,行政官员,销售人员等。不过随着互联网的高速发展以及移动设备的激增,形势出现了极大改变。而且,用户希望随时随地安全访问公司网络和服务的要求越来越强烈。
据Forrester透露,在北美和欧洲,有62%的信息工作者会常规性地进行远程办公。而最近一项微软调查发现平均每个远程工作者一个月有四天时间是在家工作。许多人在晚上或周末进行加班工作的人也需要远程办公。除此以外,于6月9日运营的Telework Enhancement Act要求美国政府机构起草策略以监管和促进远程办公。
在远程办公者,加班者和新的移动设备之间,IT部门面临着前所未有的远程访问挑战,因为访问的数量巨大,且相对分散。与此同时,他们还要面对预算缩减和服从性等问题。
为了帮助他们解决这一挑战,我们想到了以下五个正出现恶替代物来帮助企业有效且安全地实现远程访问。
企业需要推动部署
许多企业都有延时远程访问架构,这样的架构会指明谁可以接受访问,从何种设备接入。可以是一种需要在受信任端点运行软件的旧式VPN,因此它可以通过家用电脑或智能手机进行安全的远程访问。也可以是一个移动访问网关,可以提供经验证的,加密的无线访问,但是仅限于一种智能手机。
当然,每种安全的远程访问方案都尤其局限性。不过这些方案仍然有助于我们退后一步估算企业访问需求及其相关风险,然后在将其纳入可能的方案,形成可行的策略。在某些案例中,可能出现非传统的安全访问替代物。不过在没有明确的需求和风险评估的情况下你无法确定。
考虑安全的云应用
远程访问用户分为两大阵营:一类需要安全的网络访问,而另一类则需要安全的应用访问——主要是信息传送。后者通常使用由TLS作保障的 Outlook Web Access和Exchange ActiveSync;这些方案可以满足即时需求,但不能直接用于支持其他应用。
功能扩展的必要性使得员工有可能将用户,其智能手机和平板电脑接入公司的VPN。尽管如此,随着云服务的增长,选择性移动应用将成为可能。
云服务供应商InfoStreet的CEO Siamak Farah认为,对于许多中小企业而言,租赁一个安全的云应用比自己安装一个应用要简单。云方案供应商可以提供不可知的端点来保护对应用的访问,中小企业要在邮件,CRM,文件共享和视频会议中用到这些应用。虽然这可能无法满足所有企业的需求,但是对于中小企业而言已然是个很大的进步,因为这些应用可以快速添加到受到供应商保护的服务器端。
除了云应用以外,还可以考虑使用云技术的内联网,它可以在不接回公司网络的情况下实现安全协作。
注意企业资产,不是指设备
正如Farah提到的,端点设备的独立性在简化远程访问操作中起着重要作用。不过允许过多设备接入并不意味着不限定设备型号或安全姿态。因此,现在许多远程访问VPN都会检测端点设备的特性,评估风险,然后安装必要的安全程序或设置——通常这些步骤不需要用户辅助
不过,这些VPN的最佳实践仍可以通过设备型号和所有权进行限制。智能手机和平板电脑或许从来不会像笔记本或上网本那样支持相同的深度检查;用户或许对非企业所有的设备抱有合理的隐私期望。
为了避免周而复始地出现这种情况,应该将安全策略重新放在保护企业资产上,而不是接入设备。例如,虚拟桌面架构(VDI)的替代物(例如,Citrix XenDesktop, VMware View,RingCube vDesk)可将工作环境保留在数据中心里,从而将端点设备与工作环境完全隔离。
留意数据
当VDI虽然可在某些情况下充当代替物,但它不适合其他情况;特别是需要企业数据访问的未连线用户。在这些案例中,VPN会保护传输中的数据,但是必须与端点措施(例如,设备PIN,远程擦除,磁盘加密)双管齐下才能保护余下数据。这就是为什么IT部门长期以来致力于为远程访问的笔记本提供保护的原因,也是为什么要花同样的力气来锁定智能手机和平板电脑的原因。
在采用这一熟悉的方法前,要对安全访问的替代物进行评估,这些替代物将业务应用和数据从其他端点区分开来。Good for Enterprise,NitroDesk Touchdown和Enterproid Divide等产品在移动设备上创建了加密沙盒,在设备被淘汰货丢失的时候,可以让IT人员有一个隔离的工作环境进行配置,监控和删除操作。
至于个人电脑或公共笔记本电脑,一个概念类似的方法被用来保护环境,如MXI Stealth Zone。这些替代物仍然使用传统的无线保护(如,VPN隧道,SSL加密的ActiveSync)不过目标是更易于管理更具可靠性的虚拟端点。
移动性
Forrester推荐大家在规划新内容和协作工具的时候采用“移动优先”的宗旨。现在的端点是移动的,可以从家里带到办公室,再带到酒店。期望所有的远程访问数据流都通过边缘设备(VPN或信息传送网关)进入公司网络已经不再是虚构的事物。此外,风险随着设备在公共网络和私有网络之间不断切换而发生变化。必须对其进行无界保护。
对任何安全访问扩展物或替代物进行评估时,要考虑此方法在公司内外是否都可行。例如,VPN客户端如Cisco AnyConnect和JunOS Pulse就具有本地识别属性;在适合每个网络的安全策略间进行很明显的切换(例如,在连接上公司WLAN前保持VPN隧道的连接)。
当设备出现移动的时候,要尽量不让安全影响到其可用性,也就是要使用助动器使用户通过安全界面登录。最后,不完整的策略和复制的策略会挫伤用户的积极性。所以要寻找统一管理策略帮助IT人员贯彻一致的接入权限,方便用户的设备在企业移动。
原文链接:http://www.esecurityplanet.com/features/article.php/3937121/5-Best-Practices-for-Securing-Remote-Access.htm