远程办公已经成为未来IT战略不可或缺的一部分,全职现场办公的时代似乎已经渐行渐远。疫情的爆发推动了IT industry快速学习如何支持和管理遍布全球的员工队伍和客户群。将远程办公作为一项长期IT战略来实施也很紧迫。
因此,企业应该了解未来远程办公和现场办公的混合办公模式,并制定相关政策。
与远程员工的信息安全相比,建立企业总部的IT安全策略是完全不同的思路。从安全角度来看,在为总部设计战略时,应考虑更多的变量。例如,以前IT可以很容易地监控传入的IP地址作为登录凭证的起点,而现在如果用户不通过VPN连接,就很难实现这一点。因此,许多企业仍然选择首先为远程员工制定安全策略。问题是如何在不影响工作效率的情况下为远程员工建立一个安全的基础。
为此,IT 部门可以部署零信任策略,零信任假定用户、设备、网络和其他资源都不可信,除了提供相应凭证外,用户必须验证身份或满足处于安全状态的条件才能访问所需资源。
在零信任部署的初始阶段,企业可以采用条件访问策略,该策略规定用户只有通过特定验证条件后才能访问 IT 资源,这些资源与用户已经通过凭证授权访问的内容无关,相当于在现有 IT 环境基础上增加了一层防护。条件访问策略包含以下三个关键因素:
-
验证用户身份
-
验证可信设备
-
验证用户是否连接到许可网络
下面将分别介绍条件访问的三大要素。
1. 验证用户身份
验证用户身份是确保远程访问安全的首要步骤,除了强密码之外还可以使用条件访问管理所有形式的凭证控制工具,包括多因素认证(MFA)。
在凭证泄露的情况下,MFA 是抵御网络钓鱼攻击的有力武器,可以防止黑客从任意位置利用凭据。然而,有些企业认为如果可以验证用户的网络位置可能就不需要强制实施额外的安全层,这时也可以使用条件访问强制远程员工输入 MFA 凭证,现场办公的员工可以直接跳过。
企业还可以对需要访问企业资源的特定组要求实施多因素认证 MFA。例如,客户服务团队只需要用邮件和客户沟通,所以可以跳过 MFA 提示直接访问设备,而其他部门员工都必须在设备上使用 MFA 保护业务中的关键软件或系统。
2. 验证可信设备
要确保员工只能从公司安全设备访问资源可以使用设备信任组件。当用户从可信设备访问资源时,IT 部门可以设置策略,减少 MFA 的提示次数;使用自带设备(BYOD)等不可信设备时则会触发条件访问策略。
条件访问还可以防止员工从不可信设备访问公司资源,IT 部门可以设置策略规定哪些设备可以访问哪些公司资源。对于不可信设备,员工只能检查邮件,没有其他访问权限。
由于现在几乎所有设备都可以访问邮件和网页,企业 IT 部门可以利用好条件访问根据公司相关政策对设备和访问权限进行适当管控。
3. 验证网络
条件访问策略的最后一个要素是网络信任策略。鉴于远程办公在未来很有可能会常态化,确保员工的网络安全也是必不可少的一步。
1)通过白名单 IP 识别网络信任
建立网络信任最安全的方法是使用已知的 IP 地址列表允许员工通过家庭网络或使用 VPN 访问企业资源。通过网络信任策略,企业可以防止员工在公共网络等不可靠网络上访问敏感资源,而连接家庭网络或 VPN 的员工可以获取完整的访问权限。
但在具体实践中,一旦远程用户群扩张到一定程度,或者员工的办公场所产生更多变化,网络信任也会给管理带来困难。所以,上述保护网络信任的方法对于小型企业或远程员工数量固定的企业来说更有效果。当员工连接到安全的许可网络时,网络信任可作为部分条件,放宽用户的访问认证。
2)条件多因素认证
网络信任也可以用于 MFA 策略。例如在办公室网络等白名单内的 IP 地址范围减少 MFA的提示,而其他地址的访问一律需要 MFA 的凭证。
3)地理围栏
如果企业只是受业务性质所限无法管理 IP 白名单,IT 部门仍然可以验证员工所处位置保障访问安全。假设一名上海的员工试图从美国的 IP 地址获取企业资源,无论该员工持有哪些凭证,地理围栏策略都会阻止这类没有访问权限的用户访问资源。
4. 适合远程员工的条件访问策略
条件访问策略可以帮助企业更好地管控员工访问,同时完善用户体验。条件访问基于零信任原则,可以确保只有授权人员通过可信设备在授权位置才能访问公司资源。此外,员工也可以通过 MFA 等其他方式访问资源。
零信任环境中,条件访问不仅为访问创建安全策略,也是指导了宏观安全框架。企业需认识到在远程办公环境中对信息安全时刻保持警惕的重要性,并且只在满足特定条件时才能灵活放宽。与此同时,条件访问允许企业的 IT 部门限制来自非托管设备和风险网络的访问,只要员工满足相应的安全条件仍然可以获取完整的访问权限。
1052
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
