遠端存取服務讓企業員工可以隨時隨地存取公司的IT服務,而當企業決定採用這個服務時,除了要考慮不同方案是否容易使用和成本合理外,還要了解它們各自的保安優點和缺點,否則企業的數據資產會有保安風險。這份保安指南旨在為企業提供有用的貼士,找出能夠滿足它們運作和保安要求的遠端存取服務。

遠端桌面控制 (Remote Desktop Control)

遠端桌面控制是把企業內部的電腦對互聯網開放,使遠端用戶幾乎可以從任何地方對其進行控制。它的吸引力在於成本低、方便和容易使用。

 

反觀,其保安缺點在於它繞過防火牆的控制,由企業內部的電腦向外打開一個固定的窗口,連接服務供應商的伺服器,從而允許遠端用戶通過這窗口反向連接該電腦。這技術通常不具備企業所需的嚴格保安控制、日誌記錄和審核等功能。用戶必須完全信任服務提供商的保安,並認為就算遭入侵影響都會很輕微。這技術有一些應用例子,例如辦公室內只得一台電腦的用戶,或願意承擔相關的風險,因為明知出現保安事故都只會影響其電腦而已。另一個應用例子是用戶向IT支援人員開放遠端桌面控制,並全程陪同支援人員。

 

市場上的遠端桌面控制產品林林總總,企業需選擇一個能夠支援雙重認證或多重認證的軟件,並設置一個強密碼,亦要保持遠端桌面控制軟件為最新版本。另外,在不需要使用時將其關閉,以降低保安風險。

虛擬私人網絡 (VPN)

VPN是一項用戶可以通過公共網絡安全地存取公司網絡服務的技術,如同他們的電腦設備直接連接到公司內聯網一樣。該技術為用戶提供了對公司網絡資源(例如中央存儲和打印機)的保安存取。但是處理程序仍然會在客戶端的電腦上進行。

 

使用VPN時,公司需要擁有能支持SSL VPN或IPSec VPN功能的防火牆或VPN設備,而用戶則需要在其設備安裝指定的VPN客戶端應用程序或設定所支援VPN配置,此工作或需要公司IT支援團隊的協助。若企業已經擁有這種防火牆或設備,那麼VPN通常是一種具有成本效益的解決方案。

 

保安角度上,使用者裝置就像直接連接公司內聯網一樣,存在傳播惡意軟件的風險。因此,用戶必須為其設備安裝端點保安軟件,並在使用VPN時最好採用雙重認證或證書登錄。

虛擬桌面基礎架構 (VDI)

VDI是一項用於提供和管理虛擬桌面的技術。它將多個虛擬桌面集中託管於中央伺服器上,並根據要求將其分配到客戶端上。這些虛擬桌面是由系統管理程序控制的虛擬裝置所創建出來,而虛擬桌面上的所有運算活動都會在中央伺服器上進行。由於VDI需要額外的軟件來承載VDI系統,所以成本高昂。

 

用戶利用VDI解決方案透過客戶端或網頁瀏覽器經SSL來存取其桌面,而他們所使用的設備實際上從未接觸過該桌面系統,因此可減輕保安風險。由於許多VDI解決方案都提供了針對虛擬桌面的防病毒和惡意軟件保護等功能,所以用戶的設備上並不需要安裝此類保安工具。

 

想進一步完善保安,用戶可在VDI解決方案中使用雙重認證,以避免密碼暴力破解攻擊。另外,IT管理員應控制經VDI對企業內聯網內重要系統的存取。

 

 

解決方案 遠端桌面控制
(Remote Desktop Control)
虛擬私人網絡
(VPN)
虛擬桌面基礎架構
(VDI)
運作方法
  • 用戶只需要下載並安裝遠端桌面控制軟件在公司電腦上即可。
  • 把軟件在公司電腦上執行以連接到雲端服務並獲得獨特ID。
  • 密碼將隨機生成,或者用戶可以設置自己的密碼。
  • 在用戶設備中安裝的相同軟件。
  • 然後,用戶可以通過輸入該獨特ID和密碼來遠端控制公司電腦。
  • 2種類型VPN:(i)IPSec VPN(ii) SSLVPN
  • IPSec VPN:
    • 通常將VPN客戶端將安裝在用戶的電腦中。
    • 該電腦將虛擬地連接到公司網絡。 從技術層面已可以存取所有資源。
  • SSL VPN:
    • 建基於網頁技術,因此不需要安裝客戶端
    • 僅支持有限服務(例如,網頁應用程序,遠端桌面,其它第三者終端服務等)
  • VDI是用於提供和管理虛擬桌面的技術。
  • VDI在中央伺服器上託管多個虛擬桌面,並根據要求將其分配到用戶客戶端上。
  • 這些虛擬桌面是由系統管理程序控制的虛擬裝置(VM)創建的。
  • 虛擬桌面上的所有運算活動都在集中式伺服器上進行。
  • 用戶透過客戶端或網頁瀏覽器通過SSL存取其桌面,而他們使用的設備實際上從未接觸過桌面系統。
成本 中等 [大多數保安設備(如次世代防火牆)都具備VPN功能。有些則可能需要額外的許可證才能啟用此功能]
準備時間 較少 中等 較多

優點

  • 基本的遠端控功能通常是免費的。 (附加功能將另行收費)
  • 易於設置。
  • 良好的用戶體驗,就像坐在公司的電腦前一樣。
  • IT管理員可以更好地控制身份驗證機制(例如密碼強度,2FA / MFA)以及網絡存取/活動的監測性。
  • IT管理員可以靈活地控制用戶對資源的使用權。
  • 在有需要時,IT管理員能靈活地自定義或標準化所有虛擬機的配置。
  • IT管理員可以更好地監測整體績效和活動
缺點
  • 適用於有用戶在旁監視的情況下進行 遠端技術支緩 / 服務台 等服務,一般而言不適用於公司遠端存取。
  • 用戶可任意使用自己喜歡的任何密碼(無密碼強度要求)。
  • 通常沒有雙重認證/多重認證(2FA / MFA)功能。
  • IT管理員對連接的控制較少/無控制權。 任何持有密碼的人都可以遠端存取公司電腦。
  • 由於用戶(個人)設備可能被利用來連接到公司內聯網,因此,如果其較早前已被惡意軟件感染,則存在傳播風險。
  • 建立此類基礎架構所需的硬件,軟件和許可證的額外費用
  • 與其他遠端存取方法相比,IT 員工技能,維護時間和成本較高。
保安建議
  • 遠端控制軟件應保持更新,以確保修補了漏洞。
  • 使用強密碼。
  • 如果具備2FA / MFA功能,應立即啟用。
  • 連接到公司網絡之前,請確保啟用了保護機制以強制檢測用戶設備的保安性。(例如,安裝反惡意軟件,啟用個人防火牆,限制在後台運行的應用程序 等)。
  • 使用強密碼。
  • 如果具備2FA / MFA功能,應立即啟用。
  • 由於VDI通常用於應急目的(例如業務連續性計劃(BCP)或災難恢復計劃(DRP)),因此IT管理員可能會忽略某些不常使用的作業系統或應用程序的保安補丁,尤其當是大多數的虛擬機具有自定義的配置。
  • 因此,建議建立包括物理和虛擬環境中所有資源的完整列表。
  • 並確保該列表保持更新。
  • IT管理員和用戶都必須使用強密碼
  • 如果具備2FA / MFA功能,應立即啟用。
例子*
  • GoToMyPC
  • Google Remote Desktop
  • TeamViewer

 

  • Cisco
  • Fortinet
  • Palo Alto
  • Sangfor
  • Citrix
  • Huawei
  • Microsoft
  • VMware

 

 

*免責聲明:
HKCERT 不會推介特定供應商的產品。這個列表中的產品,並不意味是 HKCERT 的推介。工具列表中沒有質量評級。這個列表內的工具屬程式開發者或產品供應商所有,他們能夠隨時更改程式。HKCERT 沒有查實當中的程式的完整性,如在使用上遇到任何問題,請直接連絡程式開發者或產品供應商。

 

原始連結:https://www.hkcert.org/my_url/zh/guideline/20040302

Category: 保安指南

ESSENTIAL