遠端存取服務讓企業員工可以隨時隨地存取公司的IT服務,而當企業決定採用這個服務時,除了要考慮不同方案是否容易使用和成本合理外,還要了解它們各自的保安優點和缺點,否則企業的數據資產會有保安風險。這份保安指南旨在為企業提供有用的貼士,找出能夠滿足它們運作和保安要求的遠端存取服務。
遠端桌面控制 (Remote Desktop Control)
遠端桌面控制是把企業內部的電腦對互聯網開放,使遠端用戶幾乎可以從任何地方對其進行控制。它的吸引力在於成本低、方便和容易使用。
反觀,其保安缺點在於它繞過防火牆的控制,由企業內部的電腦向外打開一個固定的窗口,連接服務供應商的伺服器,從而允許遠端用戶通過這窗口反向連接該電腦。這技術通常不具備企業所需的嚴格保安控制、日誌記錄和審核等功能。用戶必須完全信任服務提供商的保安,並認為就算遭入侵影響都會很輕微。這技術有一些應用例子,例如辦公室內只得一台電腦的用戶,或願意承擔相關的風險,因為明知出現保安事故都只會影響其電腦而已。另一個應用例子是用戶向IT支援人員開放遠端桌面控制,並全程陪同支援人員。
市場上的遠端桌面控制產品林林總總,企業需選擇一個能夠支援雙重認證或多重認證的軟件,並設置一個強密碼,亦要保持遠端桌面控制軟件為最新版本。另外,在不需要使用時將其關閉,以降低保安風險。
虛擬私人網絡 (VPN)
VPN是一項用戶可以通過公共網絡安全地存取公司網絡服務的技術,如同他們的電腦設備直接連接到公司內聯網一樣。該技術為用戶提供了對公司網絡資源(例如中央存儲和打印機)的保安存取。但是處理程序仍然會在客戶端的電腦上進行。
使用VPN時,公司需要擁有能支持SSL VPN或IPSec VPN功能的防火牆或VPN設備,而用戶則需要在其設備安裝指定的VPN客戶端應用程序或設定所支援VPN配置,此工作或需要公司IT支援團隊的協助。若企業已經擁有這種防火牆或設備,那麼VPN通常是一種具有成本效益的解決方案。
保安角度上,使用者裝置就像直接連接公司內聯網一樣,存在傳播惡意軟件的風險。因此,用戶必須為其設備安裝端點保安軟件,並在使用VPN時最好採用雙重認證或證書登錄。
虛擬桌面基礎架構 (VDI)
VDI是一項用於提供和管理虛擬桌面的技術。它將多個虛擬桌面集中託管於中央伺服器上,並根據要求將其分配到客戶端上。這些虛擬桌面是由系統管理程序控制的虛擬裝置所創建出來,而虛擬桌面上的所有運算活動都會在中央伺服器上進行。由於VDI需要額外的軟件來承載VDI系統,所以成本高昂。
用戶利用VDI解決方案透過客戶端或網頁瀏覽器經SSL來存取其桌面,而他們所使用的設備實際上從未接觸過該桌面系統,因此可減輕保安風險。由於許多VDI解決方案都提供了針對虛擬桌面的防病毒和惡意軟件保護等功能,所以用戶的設備上並不需要安裝此類保安工具。
想進一步完善保安,用戶可在VDI解決方案中使用雙重認證,以避免密碼暴力破解攻擊。另外,IT管理員應控制經VDI對企業內聯網內重要系統的存取。
解決方案 | 遠端桌面控制 (Remote Desktop Control) |
虛擬私人網絡 (VPN) |
虛擬桌面基礎架構 (VDI) |
運作方法 |
|
|
|
成本 | 低 | 中等 [大多數保安設備(如次世代防火牆)都具備VPN功能。有些則可能需要額外的許可證才能啟用此功能] | 高 |
準備時間 | 較少 | 中等 | 較多 |
優點 |
|
|
|
缺點 |
|
|
|
保安建議 |
|
|
|
例子* |
|
|
|
*免責聲明:
HKCERT 不會推介特定供應商的產品。這個列表中的產品,並不意味是 HKCERT 的推介。工具列表中沒有質量評級。這個列表內的工具屬程式開發者或產品供應商所有,他們能夠隨時更改程式。HKCERT 沒有查實當中的程式的完整性,如在使用上遇到任何問題,請直接連絡程式開發者或產品供應商。