让安全性覆盖任意位置
"2021 年 在家 办公"是我在一月份的 网络安全峰会 上的演讲标题,删除线很重要。为应对全球新冠疫情,办公地点开始大规模从普通工作场所转变为家中,在此之后,不再存在“远程工作”或“在家办公”的概念,而只会剩下 “工作”这一概念。"工作指的是您做的事,而不是您去的地方",这句格言从未如此正确过。
过去,员工不受地点限制只是一种可能性,如今,这已成为现实。我们将永远不会回到多数人每周五天、朝九晚五在办公楼里辛苦工作的环境,我们也不会继续 2020 年类似于小作坊的状态,那时,每个人都在家里努力提高工作效率。对于希望减少企业物业预算、同时减少通勤并享受更多家庭时间的高管而言,这种状态还不错,但也有一些员工并不满意,他们坐在床边使用笔记本电脑,并与室友共用不稳定的 Wi-Fi 网络,这些员工迫不及待地想回到办公室工作。因此,我们未来最终会面对一个混合的工作环境,这是一件好事。
新冠疫情导致企业迫切需要支持激增的远程工作,这给全球的技术团队带来了巨大的困境。虚拟专用网络 (VPN) 访问是为 5% 的员工准备的,而不是 100%,并且安全功能只考虑了所有人都在办公室办公的场景。企业没有准备好应对这种突然发生的颠覆。作为 Akamai 的安全战略人员,我看到企业分三个阶段来应对与支持和保护远程员工有关的挑战。
分阶段过渡到远程工作
第一个阶段是恐慌:把 5000 人从办公室移出,让他们在周末到来前在家办公!在这个阶段,无论以前使用的何种远程访问方法(通常是 VPN),这些方法都在迅速扩大使用范围,这纯粹是为了照顾员工的需求。
下一个阶段是企业意识到,拼贴在一起的安全网络现在就像一个漏勺,有一些缺口会被利用,成为网络威胁的入口。远程访问原本只是用于偶尔检查电子邮件或执行系统管理服务器重启,现在却被每个人使用,而这些用户并没有 IT 团队那样的安全意识。确保所有这些远程连接的安全成为当务之急,以便为 VPN 网关(突然变得对于整个公司至关重要)添加更好的端点保护和更多的分布式拒绝服务 (DDoS) 防御措施,并更新反网络钓鱼工具。
最后一个阶段是企业认识到,必须采用更聪明的方法。从性能或安全的角度来看,整个企业使用 VPN 来开展工作的做法是不可持续的。 2020 年,许多 IT 转型计划已在进行或在加速进行,但企业现在面临的挑战是,它们需要能够随时随地连接数据和用户。但是,他们仍然必须依靠虚拟隧道来发送流量,受限于固定的地点,并面临各种瓶颈。 随着世界重新开放,混合工作环境将成为行业标准,但是,企业如何在不影响安全性的情况下提升灵活性?
更聪明的工作方式
新方法必须同时改善用户体验和安全性。它必须提供高效开展工作的能力,而不需要企业在应用程序从数据中心迁移到云端时疲于处理多个 VPN 连接。它还必须消除因为不得不"绕道"或"迂回"传输流量(使流量流经中央安全系统,然后再返回到云端,而不是直接进入云端)而导致的额外延迟。
员工在访问企业网络时,使用了多种设备 - 学校的笔记本电脑、电视、智能洗衣机,等等 - 这些设备的安全水平可能存在问题,导致了更大的漏洞利用几率。此外,暴露的远程桌面协议 (RDP) 端口和 VPN 门户带来了更多风险。事实上,RDP 网络攻击 在 2020 年 增长了 768%。许多数据泄露源于端点遭到入侵或凭据被盗,然后攻击者在网络中横向移动,寻找未修补的服务器,利用系统漏洞,提升访问权限,直到可以访问有价值的数据并进行泄露。这种风险过去存在于传统的办公环境中,但如今,随着企业开放自己的网络,这种风险进一步增大。
更聪明的解决方案一目了然:我们不应将机器直接连接到网络,而应侧重于连接用户和应用程序。通过利用互联网作为管道,我们可以大大降低风险并提高性能。
将用户连接到应用程序
在传统场景中,一旦用户通过 VPN 进行连接,他们本质上就拥有了与办公室里的用户相同的访问权限级别,只是远程用户实际所在的网络 - 该网络有可能包含不安全的端点,或密码管理存在问题 - 可能并不安全。例如,使用 VPN 的工程师也许能够导航到会计服务器,即使该用户没有登录凭据,也能这么做 - 如果连接遭到入侵,攻击者现在将获得网络级别的访问权限,可以确定攻击目标,比如 IP 地址、开放端口或未解决的漏洞。
Zero Trust 是一种基于严格身份验证的网络安全模式,它已被应用到许多不同的工具中,此外,它也是一套出色的远程访问解决方案。首先,将在用户实际连接到应用程序之前进行身份验证。多重身份验证 (MFA) 是大多数企业的要求,但仍然容易受到中间人攻击 - 攻击者拦截或修改双方之间的通信 - 比如 Twitter 遭遇的一次著名攻击事件。通过使用与用户的笔记本电脑相连的 FIDO2 令牌生成器, 可提供额外的安全性。如果没有适当的身份验证,请求会被放弃,客户端和应用程序之间完全不会建立连接。
其次,授权只允许最低权限的访问,这是 Zero Trust 采用的一项原则,即只向用户提供完成工作所需的访问权限,从而进一步降低风险。在连接到应用程序之前,通过要求访问者获得应用程序的授权,可以减少攻击面,考虑到一个企业中的应用程序数量,这种做法有时可以大幅减少攻击面。
最后,也许是最重要的一点,我们实际上根本不需要将设备连接到运行应用程序的服务器。相反,由于 Zero Trust Network Access 通过基于云的服务向用户交付应用程序;我们将代理连接,并允许设备直接与应用程序通信,而无需设备在物理上进行网络访问。然后,如果用户的设备遭到入侵,暴露的只是云代理的 IP 地址,而不是服务器。 这种方法可提高设备灵活性,例如,当一名通常在办公室用台式机工作的员工想在家里使用个人笔记本电脑时。
公共部门中基于云的安全应用程序访问
安全远程工作在所有行业都至关重要,尤其是那些处于第一线的行业。作为英国国家卫生局 (NHS) 的一部分,NHS Forth Valley 为 NHS Scotland 的 14 个地区中的 1 个地区提供医疗服务。在新冠疫情危机开始时,许多工作人员需要远程工作,而现有的 VPN 基础架构无法扩展并提供对所有必要应用程序的访问。
为了在新冠疫情期间迅速实现对应用程序的安全访问,NHS Forth Valley 与 Akamai 团队合作,部署了一个简单的、基于云的解决方案,它可以使用 MFA 来确保安全访问,并允许对用户和应用程序进行全面控制和监测。因此,NHS Forth Valley 解决了 VPN 方面的难题,创造了可靠的用户体验,并保护了敏感应用程序。要详细了解 NHS Forth Valley 如何在全球健康危机中保护远程访问,请观看 网络广播。
在 2021 年及未来从容开展工作
利用云,我们可以更好地定义网络的边缘,确保身份验证、授权和访问不受传统模式和网络架构的限制,这些模式和网络架构已不再适用于如今和未来的工作。借助云,用户可以访问经过检查、验证、保护和优化的应用程序,且访问速度远远超过单独使用 VPN 时的速度。
以前的本地安全堆栈现在位于云中,离用户很近,因此,用户体验不会被不必要的延迟影响,而且,由于用户通过代理(而不是网络)来访问应用程序,有价值的资产可以得到保护,防止攻击者进行横向移动。当用户没有实际连接到运行应用程序的服务器时,攻击者就没有机会进一步利用漏洞。
现在,员工不再局限于特定的地点,是时候利用云来为未来的工作模式提供支持了。Akamai 可以通过 Enterprise Application Access帮助您创建一个灵活、安全的工作场所,EAA 是一个独特的 云架构 ,可确保授权用户和设备只能访问他们需要的内部应用程序,而非访问整个网络。通过利用 Akamai Intelligent Edge Platform,企业可以通过安全的方式允许用户在任何地方开展工作。
关于作者
Richard Meeus 是 Akamai 的欧洲、中东和非洲地区安全技术和战略总监。Richard 拥有 20 多年的经验,他负责为全球一些具有巨大影响力的企业设计和构建安全解决方案。他最初是一名硬件工程师,与科技行业一样,他的职业生涯也在蒸蒸日上,并从侧重于硬件过渡到了侧重于软件。
Richard 是云计算、企业软件和网络安全方面的行业专家。在 Akamai、Mirapoint 和 Prolexic 工作期间,他在广泛的项目中发挥了战略作用,包括为跨国企业部署 DDoS 解决方案以保护关键基础架构和敏感数据。他是 BCS 的特许成员,同时也是一位 CISSP,并被认为是业内的思想领袖。
