確保分散式企業的長治久安
摒棄短期的遠端員工安全修復措施
疫情迫使組織提升其分散式員工的安全性。安全性增強的範例包括雙重驗證和 VPN 等遠端存取工具的採用率增加。
這些改進可以強化組織的安全狀態,但它們並不能加入遠端工作策略。面對疫情的壓力和各類資源,IT 和安全團隊通常缺乏必要的時間或預算來制定長期策略,以便將遠端工作者連接到混合雲端環境中的自我託管應用程式、SaaS 應用程式和網際網路。因此,組織進行了他們力所能及的投資和改變。
不幸的是,短期修復可能會導致可見度和安全漏洞,從而使遠端工作者的電腦和雲端解決方案成為網路攻擊者誘人且易受攻擊的目標。
以下是疫情期間組織實作的五個最常見的臨時解決方案以及與之相關的長期問題。稍後,我們將討論如何捨棄這些解決方案,並採用長期有效的員工安全策略。
用於遠端工作的常見「臨時」解決方案:
1. 擴展 VPN 的使用
疫情開始時,許多組織都使用虛擬私人網路 (VPN) 連線,讓遠端員工安全地存取企業網路。
VPN 可以是一種有效的遠端存取解決方案,但它們是針對特定使用案例而設計的:由少數系統進行的定期、短期連線。它們有一些限制,使得其不適合完全遠端工作者的持續使用,包括:
效能不佳:VPN 基礎結構通常針對一小部分組織員工而設計,而且其開支會隨著 VPN 使用者數量而呈線性成長。這表示遠端工作者的存取需求可能會壓垮組織的 VPN 和安全性基礎結構,導致效能降低或當機。
工作階段逾時:VPN 工作階�段逾時是必要的安全功能。但是,對於使用 VPN 作為企業網路存取主要來源的遠端工作者而言,這會造成不便。
存取控制:VPN 沒有內建的存取控制,讓任何角色的使用者都能完整存取企業網路。防火牆可以提供幫助——但許多防火牆使用基於 IP 的規則,這些規則在高層級的裝置行動性或不斷變更 IP 的雲端應用程式中都無法很好地運作。新一代防火牆可能提供基於使用者的存取控制,但通常缺乏與許多不同識別提供者同時合作的靈活性,而且可能難以與雲端型識別提供者整合。
缺乏身分控制:VPN 僅用於在兩點之間提供加密連線。需要其他解決方案(如公開金鑰基礎結構)來確保 VPN 連線來自核准的裝置。
缺乏可見度:許多組織的 VPN 不會在第 7 層代理處終止。這意味著組織在這些連線中缺乏對特定使用者互動的可見度——這是一個很大的漏洞。
VPN 充其量是用於支援遠端員工的臨時解決方案。為延伸遠距工作而投資額外 VPN 設備容量和備援能力的組織,必須採取措施來緩解限制和安全性挑戰。
2. 分割通道 VPN
如前所述,VPN 使用率突然激增可能會使 VPN 伺服器負擔過重,並為終端使��用者帶來網路延遲。因此,有些組織採用了分割通道方法,其中與網路繫結的流量會透過 VPN 安全路由,而與網際網路繫結的流量則直接傳送至目的地。
雖然分割通道 VPN 可以減少延遲,但卻以安全性為代價——尤其是讓組織無法看見來自遠端工作者電腦的網際網路繫結流量。這樣可能導致這些裝置在未偵測到的情況下感染惡意程式碼,或導致遠端使用者電腦上的敏感性資料遭竊。
此外,分割通道 VPN 流量意味著遠端裝置不再受到周邊防禦的保護,從而增加了透過網路釣魚攻擊和未修補軟體遭到入侵的風險。如果遠端裝置遭到入侵,且其 VPN 連線已啟用,攻擊者就能夠以此為支點並取得對企業網路內系統的存取權限。當使用者直接登入 SaaS 應用程式時,遭入侵的遠端裝置可能會嘗試外洩在 Web 瀏覽器中快取的資料。
3. 分離遠端存取和安全性
過去,組織的所有基礎結構都位於內部,因此安全性也部署在那裡。雲端運算、SaaS 應用程式和遠端工作的增長已經改變了這種模式。
為了改善遠端存取和安全性,一些組織努力將應用程式和資料轉移到雲端部署。但是,這些移動通常並非同步進行。兩個常見錯誤包括:
將安全 Web 閘道代理控制轉移到雲端(有時只關注透過雲端應用程式安全性代理程式 (CASB) 解決方案批准的應用程式),但保留遠端存取 VPN
將遠端存取轉移到雲端(可能有類似 VPN 的用戶端),而不同時將安全 Web 閘道(或完整的防火牆)轉移到雲端
將遠端存取和安全性功能分開,組織會損害網路效能或安全性。來自遠端存取用戶端的流量可能不會進行安全性檢查,使遠端工作者容易受到網路釣魚和惡意網站的攻擊。或者,流量可能會回傳至組織安全性堆疊的位置,這能夠提供安全性,但會犧牲員工生產力和應用程式效能。
4. 更新遠端端點
允許遠端員工使用個人裝置工作(疫情開始時的常見做法)會產生幾個潛在的隱私和安全問題。執行企業安全性原則並使用端點安全解決方案對於個人裝置來說更具挑戰性。因此,許多組織選擇為遠端工作者提供公司電腦,這些電腦已經安裝了必要的安全性軟體,而且可能會設定為遵守公司原則。
但是,將筆記型電腦提供給遠端工作者僅解決了遠距工作的一部分安全挑戰。組織還需要基礎結構和原則,來將原則和軟體更新分發到這些遠端裝置。一般而言,公司套用軟體更新的速度很慢,而且根據以往經驗,遠端裝置接收修補程式的速度比位於現場的裝置要慢。如果沒有基礎結構將軟體更新推送到遠端工作者,這會給遠端工作者帶來潛在的攻擊媒介。
5. 獨立安全解決方案
轉移到遠端工作為組織帶來了新的安全性和監控挑戰。為了應對這些挑戰,安全團隊尋找並部署了能夠解決特定使用案例的安全工具,這些工具通常來自各種一流的提供者。例如,用於保護遠端存取的 Zero Trust 網路存取 (ZTNA)、用於保護 SaaS 存取的 CASB,以及用於保護網際網路存取的雲端安全 Web 閘道(具備 DNS 和防火牆功能)。
這樣,這些安全團隊將擁有一系列獨立、分離和重疊的安全工具。這只會加劇大多數安全團隊經歷的警示過載,而且不同的工具功能之間也會出現安全性和可見度缺口。這些可見度缺口使攻擊者得以通過並獲得對企業系統的存取權限。
建立長期可用的安全遠端工作基礎結構
如果一個組織仍然依賴上述一個或多個短期解決方案,填補由此產生的安全性和可見度缺口將使他們的戰略在長期內更具永續性和有效性。
首先,請考慮以下五項建議:
將遠端存取安全服務移至雲端
安全遠端存取服務可確保所有業務流量在傳輸過程中都經過加密、保持可見,並確保企業可以執行安全性檢查和實施原則。但是,隨著應用程式移至雲端,硬體 VPN 和防火牆等內部部署遠端存取解決方案可能會降低應用程式效能。
當遠端存取解決方案與應用程式一起在雲端運作時,就無需將流量回傳至企業 LAN 進行檢查。這可改善遠端使用者流量的效能和延遲,並且由於該解決方案是基於雲端的,因此比基於應用程式的傳統解決方案提供了更大的靈活性和可擴充性。
捨棄 VPN
VPN 是一種遠端存取技術,專為基於周邊但現已過時的安全性模型而設計。它們為經過驗證的使用者提供對公司資源的完整存取權限,這違反了最低權限和 Zero Trust 安全性原則。根據 Zero Trust 原則,將基於每種情況授予每個使用者對特定資源的存取權限。
部分組織嘗試透過將 VPN 移到雲端來實現 VPN 現代化,這確實解決了企業 LAN 上 VPN 基礎架構的集中化問題。但是,這種方法無法解決更大的問題,即 VPN 並非針對分散式現代企業而設計,因此應該以原生支援 Zero Trust 安全性模型的解決方案取代。
針對內部和 SaaS 應用程式存取採用 Zero Trust 安全性
隨著雲端託管內部應用程式的使用變得越來越普遍,攻擊面也隨之擴大。每個暴露給遠端工作者的應用程式,以及整個網際網路,都是另一種潛在的攻擊媒介。
將風險降至最低,需要對應用程式存取套用 Zero Trust 原則。不再允許經過驗證的使用者完全存取組織的環境和應用程式,而應該基於每種情況,按照存取控制原則授予存取權限。
若要達成此目標,就要求能夠在組織的整個網路中強制執行存取控制。這需要使用大型全球網路,以及對自我託管和 SaaS 雲端應用程式強制執行存取控制的能力。
為應用程式和網際網路存取實作 Zero Trust 瀏覽
相比內部同事,遠端工作者的裝置安全性可能更低。過去,遠端裝置套用修補程式的速度較慢,而使用個人裝置的遠端工作者可能只能透過使用企業 VPN 建立的連線受到企業安全解決方案的保護。因此,遠端工作者面臨瀏覽器漏洞利用和其他網路威脅的風險較高。
Zero Trust 瀏覽透過實作基於雲端的瀏覽器隔離來降低網路風險。它們不允許網頁中的內嵌指令碼在使用者的裝置上執行,而是在用過即棄的瀏覽器執行個體上執行。
The cloud-based solution browses sites for the user and delivers a replica of the page to them. This replica should be built in such a way that it provides both high performance and security (i.e. not adding latency, breaking sites, or allowing potentially malicious code to slip through). Zero trust browsing provides an organization with the visibility and control required to identify and block attempted data breaches and other cyberattacks.
以 Zero Trust 保護遠端員工
隨著組織的網路複雜性和攻擊面的增加,安全團隊需要能夠保護組織的解決方案。使用最高效能的 Zero Trust 應用程式存取和網際網路瀏覽解決方案 Cloudflare Zero Trust 來防止資料遺失、惡意程式碼和網路釣魚,這是一個長期的遠端員工安全解決方案,其中包括:
Zero Trust 應用程式存取:Cloudflare Access 為 SaaS 和自我託管應用程式提供 Zero Trust 應用程式存取權,並透過 Cloudflare 的全球邊緣網路路由所有輸入流量,以進行安全檢查和執行原則。
安全 Web 瀏覽:Cloudflare Gateway 和 Cloudflare 瀏覽器隔離為團隊提供安全瀏覽功能,能夠偵測和封鎖網路釣魚、惡意程式碼和其他基於瀏覽器的攻擊,並對所有瀏覽活動強制執行 Zero Trust 規則。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
在全球疫情期間實作的 5 種最常見短期解決方案
這些臨時修復方案帶來的長期問題
構建安全遠端工作基礎結構的 5 大建議