疫情时期要求的人员隔离与企业复工所需的办公条件,催化了远程办公解决方案的强需求。由于疫情持续,各企业纷纷开始认真考虑远程移动办公方式,着手培养远程办公新习惯。
对于广大政企客户而言,由于开放环境带来的办公业务暴露和远程办公必然引入的风险,应非常慎重地考虑远程办公解决方案的安全问题。在成本、可用性、便捷性、体验感等诸多考虑因素中,安全性应该作为选择远程办公解决方案的重中之重。
关于远程办公的安全设计问题,很多人简单认为,移动办公安全不过就是移动终端的安全。我们认为:
一要进行系统化考量。安全作为一门系统工程,即便是对于远程办公的特定场景,也应该进行系统性考量。与本次疫情带给应急管理的经验相似,远程办公安全应该提前谋划、系统布局、全面防范。
二要提高安全重视程度。远程办公打开了巨大的风险敞口,为企业网络整体环境增加了相当大的暴露面,应以比企业内部网络环境更高的安全要求加以重视。
三应选择远程办公和安全相融合的一体化解决方案。避免移动平台和安全防护形成“两张皮”,避免桌面办公和移动办公形成“两张皮”,依据安全内生的理念,将远程办公解决方案和安全解决方案进行融合,形成一体化的安全远程办公解决方案,助力企业向数字化、移动化转型。
作为佐证,本文介绍的NIST(美国国家标准技术研究所)标准,比较系统地阐述了远程办公安全的整体框架。该标准译成中文近4万字,充分反映了美国对远程办公安全性的重视程度和考量的系统化程度。
需要注意的是,该标准发布于2016年,故未涉及零信任架构。强烈建议政企客户在参考此安全标准的基础上,积极做好向零信任架构迁移的准备。本公众号也拟于近期介绍基于零信任架构的安全远程办公解决方案。
一、远程访问的架构
组织可以提供对其计算资源的远程访问。最常用于远程工作者的远程访问方法,根据架构分为四类:隧道、门户、远程桌面访问、直接应用程序访问。
01 隧道架构
隧道架构
隧道通常是通过虚拟专用网(VPN)技术建立的。一旦在远程工作者的客户端设备和组织的VPN网关之间建立了VPN隧道,远程工作者就可以通过隧道访问组织的许多计算资源。要使用VPN,用户必须在其客户端设备上安装适当的VPN软件,或者位于具有VPN网关系统的网络上。在上图中,每个客户端设备上都安装了一个VPN客户端,并且有一个运行VPN服务器软件的VPN网关。管道表示客户端设备和VPN网关之间的安全远程访问连接(隧道)。通过这个隧道,安装在客户端设备上的应用客户端软件(如电子邮件客户端、Word处理器、web浏览器、数据库客户端)与组织内服务器上的应用服务器软件进行通信。VPN网关可以为远程工作者负责用户身份验证、访问控制(在主机、服务、应用程序级别)和其他安全功能。
虽然基于隧道的远程访问方法保护了客户端设备和VPN网关之间的通信,但它们并没有为VPN网关和内部资源之间的通信提供任何保护。此外,在隧道解决方案中,应用程序客户端软件和静态数据驻留在客户端设备上,因此它们不受隧道解决方案的保护,应通过其他方式进行保护。
最常用于远程工作者的VPN类型是Internet协议安全性(IPsec)和安全套接字层(SSL)隧道。隧道也可以通过使用安全壳(SSH)来实现,尽管这不太常用,而且通常被认为比IPsec或SSL隧道VPN更难配置和维护。
VPN网关可以控制对部分网络的访问以及远程工作者在身份验证后获得的访问类型。例如,VPN可能允许用户只访问一个子网,或者只在受保护网络上的某些服务器上运行特定的应用程序。这样,即使加密隧道在VPN网关处结束,网关也可以向远程工作者的通信流量添加额外的路由,以仅允许访问内部网络的某些部分。
02 应用程序门户架构
门户架构
门户是一个服务器,它通过单个集中化的接口,提供对一个或多个应用程序的访问。远程工作者使用远程工作客户端设备上的门户客户端访问门户。大多数门户都是基于web的,门户客户端是一个常规的web浏览器。上图显示了基本的门户解决方案架构。应用程序客户端软件安装在门户服务器上,它与组织内服务器上的应用程序服务器软件通信。
在安全性方面,门户与隧道具有大多数相同的特征:门户保护客户端设备和门户之间的信息,并且它们可以提供身份验证、访问控制和其他安全服务。然而,隧道和门户之间有一个重要的区别,即应用程序客户端软件和相关数据的位置。在隧道中,软件和数据位于客户端设备上;在门户中,它们位于门户服务器上。门户服务器将数据作为呈现的桌面屏幕图像或web页面,传输到客户端设备,但数据通常存储在客户端设备上的时间,比隧道式解决方案的数据要短得多。(然而,可以将门户配置为允许客户端从门户下载内容并将其存储在客户端设备或安全远程访问环境之外的其他位置。)将应用程序客户端软件集中起来,可以让组织更好地控制软件和数据的安全性,而不是更分散的远程访问解决方案。门户限制远程工作者对门户本身上运行的特定应用程序客户端的访问。这些应用程序进一步限制了远程工作者对网络内服务器的访问。
有几种类型的门户解决方案通常用于远程访问。基于web的门户为用户提供了从单个门户网站访问多个基于web的应用程序的权限。SSL门户VPN是基于web的门户的常见形式。另一种门户解决方案是终端服务器访问,它允许每个远程工作者访问单独的标准化虚拟桌面。终端服务器访问要求远程工作者在客户端设备上安装特殊的终端服务器客户端应用程序,或使用基于web的界面,通常带有组织提供的浏览器插件或其他附加软件。另一种类似的远程访问方法,称为虚拟桌面基础设施(VDI),涉及用户连接到包含标准化、非模拟的操作系统和桌面的虚拟映像的系统。远程工作者完成远程访问会话后,将丢弃虚拟镜像,以便下一个用户拥有干净的虚拟桌面。终端服务器访问和VDI技术主要是针对远程工作PC,有一种新兴技术为移动设备提供类似的功能:虚拟移动基础设施(VMI)。正如VDI解决方案向远程工作PC提供安全的虚拟桌面一样,VMI也向远程工作移动设备提供安全的虚拟移动设备环境。
为远程工作者提供接口的机制因门户而异。例如,终端服务器访问和VDI为远程工作者提供了一个标准化的虚拟桌面,而SSL门户VPN则通过网页提供每个应用程序。此接口的性质很重要,因为它与数据的临时性或永久性存储有关。对于许多门户来说,用户界面是虚拟的,在用户会话结束后,该界面的实例基本上被销毁,并为下一个会话使用干净的版本。一些门户,例如SSL门户VPN,可以被配置为通过VDI解决方案在客户端设备上建立安全虚拟机,限制所有远程访问数据驻留在该虚拟机内,然后安全地破坏虚拟机实例和会话结束时存在的所有数据。这有助于确保敏感信息不会无意中存储在远程工作客户端设备上,因为该设备上的信息可能会由于将来的失陷而被恶意恢复。
03 远程桌面访问架构
远程桌面架构
远程桌面访问解决方案使远程工作者能够从远程工作客户端设备远程控制组织中的特定PC,通常是组织办公室中用户自己的计算机。远程工作者可以通过键盘和鼠标控制远程计算机,并在本地远程工作客户端设备的屏幕上看到该计算机的屏幕。远程桌面访问允许用户访问所有应用程序、数据和其他资源,这些资源通常是从办公室的PC上获得。上图显示了基本的远程桌面访问架构。远程桌面访问客户端程序或web浏览器插件安装在每个远程工作客户端设备上,它直接连接到组织内部网络上远程工作对应的内部工作站。
远程桌面访问有两种主要方式:直接在远程工作客户端和内部工作站之间进行,间接通过可信的中间系统进行。但是,直接访问通常是不可能的,因为它被许多防火墙阻止。例如,如果内部工作站位于执行网络地址转换(NAT)的防火墙后面,则远程工作客户端设备无法启动与内部工作站的连接,除非NAT允许此类连接或内部工作站启动与外部远程工作客户端设备的通信(例如,周期性检查客户端设备,看它是否想连接)。
通过中间服务器执行间接远程桌面访问。此服务器有时是组织防火墙的一部分,但通常由组织网络外围的可信商业或免费第三方服务运行。通常,远程工作客户端设备和服务提供商之间以及服务提供商和内部工作站之间存在单独的连接,中间服务器处理单独连接之间的未加密通信。这个中间服务器的安全性非常重要,因为它负责对远程工作者进行正确的身份验证,并防止未经授权的方访问未加密的通信。此外,如果组织的安全策略需要特定类型的身份验证(例如联邦机构要求的双因素身份验证),中间服务器应该在两个方向上支持此身份验证。在实现间接远程桌面访问解决方案之前,组织应评估服务提供商提供的安全性,特别是涉及中间服务器的可能威胁以及这些威胁的潜在影响。然后,组织可以识别补偿控制以减轻威胁,例如在应用层应用另一级通信加密,并确定在何种情况下可以使用中间系统,例如用于低风险活动。
远程桌面访问软件保护远程访问通信的机密性和完整性,并对用户进行身份验证,以确保没有其他人连接到内部工作站。但是,由于这涉及到跨组织边界通信的端到端加密,因此通信内容在边界的网络安全控制(如防火墙和入侵检测系统)中是隐藏的。对于许多组织来说,由此增加的风险并不值得从中获益。
远程桌面访问软件的另一个严重安全问题是它是分散化的;组织不是保护单个VPN网关服务器或门户服务器,而必须保护每个可以通过远程桌面访问访问的内部工作站。由于这些内部工作站可以直接或间接地从因特网上访问,因此它们通常需要与成熟的远程访问服务器一样严格地进行安全保护,然而这些工作站的设计通常没有考虑到这种安全程度。为每个工作站应用补偿控制以将其安全性提高到可接受的水平,通常需要大量的时间和资源,以及获取额外的安全控制。此外,可能需要使用远程桌面访问将双因素身份验证功能等身份验证解决方案部署到每个内部工作站。
一般来说,远程桌面访问解决方案,如使用Microsoft远程桌面协议(RDP)或虚拟网络计算(VNC)的解决方案,只应在仔细分析安全风险后用于特例情况,所以并不推荐这种方案。本节介绍的其他类型的远程访问解决方案,提供了卓越的安全功能。
04 直接应用程序访问架构
直接应用程序访问架构
这种方式无需使用远程访问软件即可实现远程访问。远程工作者可以直接访问单个应用程序,应用程序提供自己的安全性(通信加密、用户身份验证等)。上图显示了直接访问应用程序的架构。安装在远程工作客户端设备上的应用客户端软件启动与服务器的连接,该服务器通常位于组织的边界(例如,非军事区[DMZ])或面向因特网的云架构中。
直接应用程序访问最常见的例子之一是webmail。远程工作者运行web浏览器并连接到提供电子邮件访问的web服务器。web服务器通过TLS(HTTPS)运行HTTP以保护通信,服务器上的webmail应用程序在授予对远程工作者电子邮件的访问权限之前,对远程工作者进行身份验证。对于诸如使用无处不在的应用客户端(如Web浏览器)的webmail这样的情况,直接应用访问提供了一种高度灵活的远程访问解决方案,该解决方案可以从几乎任何客户端设备使用。直接应用程序访问的另一个常见示例是智能手机应用程序(客户端软件),它通过HTTPS连接到组织的一个服务器提供的服务。
出于前面讨论过的相同原因,只有当远程工作者访问的服务器位于组织的网络边界或面向公众的云中,而不是内部网络时,直接应用程序访问架构通常才是可接受的。直接从互联网上访问的服务器应该已经得到很好的保护,以减少失陷的可能性。许多组织选择仅向一些广泛使用的低风险应用程序(如电子邮件)提供直接应用程序访问,并使用隧道或门户方法提供对其他应用程序的访问,特别是那些如果可以从Internet直接访问则风险太大的应用程序。
二、远程办公的风险和威胁
远程工作和远程访问技术最常见的安全目标仍然是CIA(保密性、完整性、可用性)。
为了实现这些安全目标,远程办公解决方案的所有组件(包括客户端设备、远程访问服务器、通过远程访问进行访问的内部服务器),都应该受到相应保护。保护的方式,可以通过在远程访问解决方案中内置的安全功能和应用于远程工作客户端设备和远程访问解决方案的其他组件的附加安全控制的组合来实现。
远程工作和远程访问技术通常需要额外的保护,因为它们的性质通常使它们比仅从组织内部访问的技术更容易受到外部威胁。在设计和部署远程工作和远程访问解决方案之前,组织应该为远程访问服务器和通过远程访问访问的资源,开发系统威胁模型。威胁建模包括识别感兴趣的资源以及与这些资源相关的可行威胁、漏洞和安全控制,然后量化成功攻击的可能性及其影响,最后分析这些信息以确定需要改进或添加安全控制的位置。威胁建模有助于组织确定安全需求,并设计远程访问解决方案,以合并满足安全需求所需的控制。
大多数远程办公威胁模型中包含的主要安全问题如下:
1)缺乏物理安全控制。远程工作客户端设备用于组织控制之外的各种位置,例如用户的家、咖啡店、酒店和会议。这些设备的移动特性使它们更容易丢失或被盗,这使设备上的数据面临更大的泄露风险。在计划远程工作安全策略和控制时,组织应假定客户端设备将被恶意方获取,恶意方将尝试从设备恢复敏感数据,或利用设备访问企业网络。
应对策略:设备丢失或被盗的主要缓解策略是加密客户端设备的存储或仅加密敏感数据本身,以便未经授权方无法从设备中恢复,或者不在客户端设备上存储敏感数据。组织可以通过对企业访问使用强身份验证(最好是多因素身份验证),缓解涉及设备重用的威胁,例如攻击者获得对设备的远程控制或冒充用户。
2)不安全的网络。由于几乎所有的远程访问都是通过Internet进行的,因此组织通常无法控制远程工作客户端使用的外部网络的安全性。用于远程访问的通信系统包括宽带网络(如电缆)和无线机制(如IEEE 802.11和蜂窝网络)。这些通信系统易被窃听,这会使远程访问期间传输的敏感信息面临泄露的风险。中间人(MITM)攻击也可以用来拦截和修改通信。
应对策略:组织应在远程工作客户端设备和组织之间的网络不可信的前提下,规划其远程访问安全性。通过使用加密技术来保护通信的机密性和完整性,以及使用双向身份验证机制来验证两个端点的身份,可以减轻但不能消除使用不安全网络的风险。
3)被感染的设备连接到内部网络。远程工作客户端设备,特别是BYOD和第三方控制的笔记本电脑,通常用于外部网络,然后被带入组织并直接连接到组织的内部网络。对客户端设备具有物理访问权限的攻击者,可能会在该设备上安装恶意软件,以便从该设备及其连接的网络和系统收集数据。如果客户端设备感染了恶意软件,则一旦客户端设备连接到内部网络,此恶意软件可能会在整个组织中传播。组织应该假设客户端设备会受到感染,并相应地计划其安全控制。
应对策略:除了授权使用适当的反恶意软件技术(如笔记本电脑上的防病毒软件)外,组织还应考虑使用网络准入控制(NAC)解决方案,在允许客户端设备使用内部网络之前,验证其安全状态。组织还应考虑为所有外部客户端设备(包括BYOD和第三方控制的设备)使用单独的网络,而不是允许它们直接连接到内部网络。第4节包含改进客户端设备安全性的其他建议和建议。
4)对内部资源的外部访问。远程访问,包括从连接到组织的无线BYOD网络的BYOD和第三方控制的客户端设备进行访问,为外部主机提供对内部资源(如服务器)的访问。如果这些内部资源以前无法从外部网络访问,则通过远程访问使其可用将使它们面临新的威胁,特别是来自不受信任的客户端设备和网络的威胁,并大大增加了它们受到损害的可能性。可用于访问内部资源的每种远程访问形式都会增加该资源被破坏的风险。
应对策略:各组织应仔细考虑提供对额外资源的远程访问的好处与这些资源的受损可能产生的影响之间的平衡。各组织应确保其选择通过远程访问提供的任何内部资源得到适当加固,以抵御外部威胁,并通过防火墙和其他访问控制机制将对资源的访问限制在所需的最低限度。
三、远程访问服务器的安全
01 远程访问服务器安全
远程访问服务器(如VPN网关和门户服务器)的安全性尤其重要,因为它们为外部主机提供了访问内部资源的途径,并为组织发布的、第三方控制的和BYOD客户端设备提供了安全、隔离的远程工作环境。受损的服务器除了允许对企业资源和远程工作客户端设备进行未经授权的访问外,还可用于窃听和操纵通信,以及攻击组织内其他主机的“跳板”。远程访问服务器应保持完整的补丁修复状态,使用组织定义的安全配置基线进行操作,并且仅由授权管理员从受信任的主机进行管理。
VPN网关和门户可能运行许多服务和应用程序,如防火墙、反恶意软件和入侵检测软件。组织应该仔细考虑任何涉及在与其他服务和应用程序相同的主机上运行远程访问服务器的解决方案的安全性。这样的解决方案可能会带来一些好处,例如节省设备成本,但是任何一个服务或应用程序的损害都可能允许攻击者危害整个远程访问服务器。将远程访问服务器放在单独的专用主机上,可以降低远程访问服务器受损的可能性,并限制其潜在影响。如果一个组织的远程访问用户具有截然不同的安全需求,例如一个组访问典型的低风险资源,另一个组访问关键任务机密数据,则该组织还应考虑使用多个远程访问解决方案。
存储数据的安全性是远程访问服务器安全性的另一个重要考虑因素。对于可能临时存储敏感用户数据的门户服务器,在不再需要此类数据时从服务器中清除此类数据可以减少服务器受损的潜在影响。从远程访问服务器清除敏感数据的需要,应根据风险评估确定。
02 远程访问服务器的部署位置
组织在确定远程访问服务器的部署位置时,应考虑的主要因素包括:
■ 设备性能。远程访问服务可能需要大量计算,主要是因为加密和解密。从同时提供其他服务的设备提供远程访问服务,可能会使服务器在高峰使用期间负载过高,从而导致服务中断。通过在基于硬件的密码加速器芯片上进行加密和密钥交换,可以降低加密和密钥交换对性能的影响。
■ 流量检查。因为网络防火墙、入侵检测系统和其他网络安全设备无法检查加密的远程访问通信的内容,建议仔细设计远程访问架构,通过适当的网络和/或基于主机的安全控制,来检查未加密的通信形式。
■ 不受远程访问解决方案保护的通信流量。组织应该仔细考虑未受远程访问解决方案保护的网络流量所面临的威胁,例如远程访问服务器和内部资源之间传输的流量。
■ NAT。使用NAT可能会导致某些远程访问解决方案的操作性问题。例如,任何要求远程工作者直接连接到网络内的主机的远程访问系统,例如远程桌面系统或具有网络内公共端点的VPN,如果缺少特殊配置,就不能使用NAT。NAT还妨碍使用要求地址不变的应用程序。为解决特定的访问问题而突破NAT的协议和机制,通常会引入其它的安全问题。而一些新的NAT技术,特别是那些涉及IPv6的技术,还没有被很好的理解,它们的安全性还没有得到充分的分析。
组织应该仔细考虑远程访问服务器的位置。远程访问服务器通常放置在组织的网络边界。这种布局很常见,因为组织安全策略通常应用于组织的整个网络。即使特定的安全策略应用于组织的一个子网,大多数远程访问服务器也可以限制对子网的访问,因此可以放置在组织的边界。但在某些网络布局中,最好将远程访问服务器放在子网络的边界内。
一些远程访问服务器(如VPN网关)通常充当远程工作设备和组织内部计算资源之间的中间点。而另一些远程访问服务器(如直接应用程序访问和远程桌面访问解决方案)则是远程访问通信的真正端点。下面讨论这两类远程访问服务器。
1)中间远程访问服务器
中间远程访问服务器将外部主机连接到内部资源,因此它们通常应放置在网络边界。服务器充当从边界进入网络的单个入口点,并强制执行远程工作安全策略。如果需要对组织内的特定子网进行远程访问,通常有两个选项:1)将远程访问服务器放置在子网的边缘,通过子网连接到整个网络;2)将其放置在整个网络的边界,并使用附加机制限制远程工作者只能访问指定的子网络。
对于四种远程访问架构,将远程访问服务器置于网络边界与子网边界的作用有所不同。唯一适合放置在子网边界的远程访问服务器类型是门户服务器和直接应用程序访问服务器。但即使在这两种情况下,通常最好在组织的边界运行这些服务器,因为这样的话,组织的防火墙才可以控制所有员工对这些服务器的访问,而不仅仅是远程员工。此外,为了简化网络的管理和网络的安全策略,在网络边界运行所有远程访问服务器也是可取的。因此,组织应该将远程访问服务器放在网络边界,而不是子网络边界,除非有令人信服的理由这样做。
如果网络的边界有防火墙,则远程访问服务器应该直接连接到防火墙,以免绕过防火墙的安全策略。而且,网络规划者必须决定远程访问服务器相对于防火墙的部署位置。如果防火墙有一个与之关联的DMZ,那么该DMZ可能是远程访问服务器的最佳位置;否则,只要网络拓扑允许,服务器就应该部署在防火墙的外侧(而非内侧,否则安全策略难以维护且无法监视通信内容)。这两个位置都提供了远程访问服务器和内部网络之间的逻辑分隔。为了减少远程访问服务器受损的潜在影响,组织应该限制服务器和内部网络之间的通信。服务器应只能启动与专门授权用于远程访问的内部主机和服务的通信,并且只有适当的内部主机(例如,用于管理远程访问服务器的受信任主机)才能启动与远程访问服务器的通信。
2)端点远程访问服务器
端点远程访问服务器应尽可能放置在组织的DMZ中。这允许边界防火墙限制从外部和内部主机对服务器的访问,并避免了允许外部通信直接进入内部网络的安全问题。
考虑到远程桌面访问解决方案通常依赖于内部工作站来提供远程访问服务,因此通常不建议使用此类解决方案。
03 远程访问认证、授权、访问控制
通过远程访问使用的大多数计算资源只对组织的用户可用,而且通常只对这些用户的一个子集可用。为确保访问受到适当限制,远程访问服务器应在授予对组织资源的任何访问权限之前对每个远程工作者进行身份验证,然后使用授权技术确保只能使用必要的资源。认证还可用于确认远程工作客户端设备和远程访问服务器的合法性。还需要访问控制技术来限制对网络通信和应用程序的访问。
1)认证
有许多方法可以对远程访问用户进行身份验证,例如使用口令、数字证书或硬件身份验证令牌。具有更高安全需求的组织,应考虑使用不仅仅依赖口令的身份验证,例如双因素身份验证。目前,双因素身份验证往往通过使用口令+密码令牌(如动态令牌码)的方式来实现。虽然也可以考虑使用指纹等生物特征,但目前很多移动设备尚不支持生物识别功能。
只要可行,组织应该实现双向身份验证,以便远程访问用户可以在向远程访问服务器提供身份验证凭据之前验证服务器的合法性。服务器身份验证对于用户手动建立远程访问连接(如在web浏览器中键入URL)的远程访问方法最为重要。一些远程访问方法,如IPsec和SSL VPN技术,通常已经包含了强制的服务器身份验证功能。
为提高安全性,组织可以启用“超时”认证功能。例如在会话的每8小时或在会话空闲30分钟之后,重新验证远程访问者的身份。
2)授权
在验证远程访问用户的身份之后,组织可以执行远程工作客户端设备的检查,以确定应允许用户访问哪些内部资源。这些检查有时被称为健康、适用性、筛选或评估检查。最常见的实现方法是让远程访问服务器对远程工作者的客户端设备执行运行状况检查。这些运行状况检查通常需要由远程访问服务器控制的用户设备上的软件,来验证是否符合组织安全配置基线中的某些要求,例如用户的反恶意软件是最新的,操作系统是打过重要补丁的,用户设备是组织拥有和控制的。移动设备上通常可用的健康检查较少,但通常提供的一项重要检查是确定移动设备是否已被Root或越狱,因为这可能产生严重的负面安全影响。
一些远程访问解决方案还可以确定设备是否已被组织保护,以及设备的类型(例如,台式机/笔记本电脑、智能手机、平板电脑)。根据这些检查的结果,组织可以确定是否应允许设备使用远程访问,以及应授予何种访问级别。如果用户具有可接受的授权凭据,但客户端设备未通过运行状况检查,则可以授予用户和设备对内部网络的有限访问权、完全没有网络访问权或对隔离网络的访问权,以便可以修复安全缺陷。授权决策也可以基于设备尝试访问的网络部分;组织可能对更敏感的数据有更严格的策略。组织还向客户端设备颁发数字证书,以便设备本身可以作为检查的一部分进行身份验证。
基于所使用的设备类型和设备属性的授权称为网络准入控制(NAC)。NAC是一种安全策略执行机制,而不是真正的安全保护机制。NAC检查的示例包括验证是否存在安全补丁程序、确认反恶意软件已启用并处于最新状态、确保启用了个人防火墙并阻止传入流量,以及执行设备身份验证。然而,许多健康检查都是以恶意软件可以轻易绕过的方式执行的,因此组织不应该依赖NAC来阻止确定的攻击者获得网络访问。组织应尽可能使用NAC来检测远程工作客户端设备中的重大安全策略违规,并防止远程工作人员无意中使用错误的远程工作设备。一些NAC解决方案还可用于控制每个客户端设备可以访问哪些内部资源,以及在允许访问客户端设备之前是否必须对其执行补救操作。
3)网络通信的访问控制
控制对网络通信的访问和保护其内容的一个主要组成部分是使用密码学。通过不受信任的网络(互联网、无线网络等)传递的任何敏感信息,都应通过使用加密技术来保持其机密性和完整性。一些远程访问方法,如IPsec和SSL VPN,通常固有地包括加密通信和完整性保护的机制。
网络通信的访问控制还可能涉及确定哪些通信量应受到保护。一些远程访问解决方案为此提供了选项;例如,许多VPN客户端都有一个称为分离隧道的功能,如果启用该功能,则将通过VPN对涉及组织内部资源的所有通信进行隧道保护,但将排除所有其他通信通过隧道。但是,分离隧道会阻止组织检查远程工作者的大部分网络流量,并可能导致具有两个活动因特网接口的远程工作设备,例如同时连接到以太网的PC和无线网络,无意中成为可信网络和不可信网络之间的桥梁。这会带来很大的安全风险,并违反大多数组织的安全策略。对于在不受信任的网络(尤其是无线热点等高风险网络)上使用VPN的远程工作者,组织应考虑禁用分离隧道功能,以便攻击者无法窃听远程工作者的任何网络通信。
对于远程工作者的家庭网络或其承包商、业务合作伙伴和供应商的网络,一些组织提供VPN网关、防火墙设备或其他安全设备,这些设备配置为强制执行组织的安全策略。这使组织能够更好地控制远程工作安全,但也可能涉及购买、部署、管理和维护安全设备的重大成本。此外,由于大多数用于远程工作的网络也用于其他目的,如果设计不当,安全策略可能会干扰网络的其他使用。另一个缺点是,如果安全设备被攻击者窃取或以其他方式获取,则如果该组织的远程访问解决方案仅对安全设备进行身份验证,而不是对远程访问用户进行身份验证,则该安全设备可能会授予攻击者轻松访问该组织系统的权限。因此,当使用这样的安全设备时,设备和用户都应该由组织进行身份验证。
3)应用程序的访问控制
不同类型的远程访问架构为应用程序访问控制提供了不同级别的粒度。隧道通常有一种机制,管理员可以指定远程工作者可以访问哪些主机端口。这可以限制访问以便只能使用特定的应用程序。从本质上讲,门户将远程工作者限制为在门户服务器上运行的应用程序。类似地,直接应用程序访问将远程工作者限制为单个服务器上的特定应用程序。远程桌面访问只能通过将应用程序的策略与内部工作站上的访问控制限制相结合来提供对应用程序的访问控制。
对远程工作者可以访问的应用程序设置限制,并不一定会阻止远程工作者影响其他资源,因为正在运行的应用程序可能可以访问其他网络资源。例如,远程工作者访问的web服务器可能导致在数据库服务器上查找、从文件服务器检索数据以及涉及其他服务器的其他操作。因此,应根据这些应用程序可以与哪些其他应用程序和主机交互,来考虑将远程工作者限制到特定应用程序的策略。
四、远程访问客户端软件的安全
远程访问解决方案安全性的另一个重要元素是远程访问客户端软件的安全配置。许多远程访问客户端都具有安全功能和设置,可以由系统管理员进行远程管理。例如,许多用户很难手动为远程桌面访问设置IPsec配置或身份验证选项。但是,远程管理能力或接口没有标准化,而且许多远程访问系统的客户端软件没有远程管理功能。如果没有适当的安全保护,远程管理功能可能被攻击者滥用,从而危害远程工作客户端设备,并使用它们访问组织的内部资源。因此,组织应该确保远程管理的安全性,特别是加密网络通信和执行端点的双向身份验证。
组织还应该考虑远程访问客户端软件的“厚度”。如果远程访问客户端的配置使组织对远程访问环境具有几乎完全的控制权,则该客户端被视为胖客户端。例如,许多VPN客户端可以配置为非常胖,例如将所有网络通信从客户端设备隧道到组织的网络,使用组织的域名系统(DNS)服务而不是本地网络的DNS服务,对VPN网关的IP地址进行硬编码,而不是依赖于DNS服务器名称的本地名称解析。
然而,许多VPN客户机也可以配置为瘦客户端,这意味着客户端使用远程工作设备上已经存在的公共应用程序,例如web浏览器。使用瘦VPN客户端时,与胖客户端相比,组织对远程访问环境的控制要少得多。瘦VPN客户端可能依赖本地网络服务,并允许不涉及组织内部资源的通信在不受保护的情况下跨公共网络传输。某些类型的远程访问解决方案(如门户、远程桌面访问、直接应用程序访问)具有固有的瘦远程访问客户端。
瘦远程访问客户端通常比胖客户端更灵活和高效,但它们也会导致更大的错误和妥协风险,例如,用户可能在Web浏览器中输错门户服务器的URL,并到达欺诈网站。胖客户端有助于确保客户端与合法的远程访问服务器和其他资源通信。具有更高安全需求或远程访问通信风险特别高的组织,应尽可能使用胖远程访问客户端,以降低危害风险。
五、远程访问客户端设备的安全
01 远程工作客户端设备的分类
远程工作客户端设备有不同的分类方式。
1)按照设备的功能差异,远程工作客户端设备可分为两类:
■个人电脑(PC),即台式和笔记本电脑。PC运行桌面/笔记本操作系统,如Windows、Apple OS X和Linux。PC可用于本节所述的任何远程访问方法。
■移动设备,是小型移动计算机,如智能手机和平板电脑,通常运行特定于移动设备的操作系统,如苹果iOS和谷歌Android。移动设备通常使用基于web浏览器的远程访问方法,主要是SSL VPN和单个web应用程序访问。
个人电脑和移动设备之间的差别正在缩小。移动设备正在提供以前仅由个人电脑提供的更多功能。尽管如此,个人电脑和移动设备可用的安全控制有着显著的不同。
2)按照负责客户端设备安全性的主体,可以分为4类:
■组织控制。此类别中的客户端设备通常由组织获取、配置和管理。这些设备可用于组织的任何远程访问方法。
■第三方控制。这些客户端设备由远程工作者的雇主(如承包商、业务伙伴或供应商)控制。该第三方最终负责保护客户端设备并维护其安全性,如组织与第三方之间的合同所述。这些设备通常可用于组织的许多或所有远程访问方法。
■BYOD。这些客户端设备由远程工作者控制,远程工作者全权负责保护它们并维护它们的安全。这些设备通常可用于组织的许多或所有远程访问方法。
■未知(主体)。由于无法保证其安全性,这些客户端设备被标记为“未知”,并由其他方拥有和控制,例如酒店的信息亭计算机,以及朋友和家人拥有的PC或移动设备。这些设备的远程访问选项通常非常有限,因为用户不能或不应该在其上安装软件,而且由于其安全状态的未知性质,使用这些设备的风险极高。
02 保护远程工作PC
远程工作PC最重要的安全措施之一是安装并启用正确配置的个人防火墙。应尽可能使用能够支持多种策略的个人防火墙,并至少为企业环境和外部环境正确配置。
远程工作PC的另一个重要考虑因素是对操作系统和应用程序应用安全更新。如果组织希望对其所有PC机仅使用集中式补丁程序管理系统,则需要考虑到远程工作PC与内部补丁程序管理系统的连接性问题,以确保能够及时获取补丁文件。组织在规划远程PC与操作系统和应用程序更新保持同步时,应仔细考虑这类问题。
其他对远程工作特别重要的安全措施包括:使用单独的有限权限的用户帐户用于常规工作,使用单独的管理帐户用于管理员级访问的任务(如某些软件更新)。强制会话锁定,防止PC空闲一段时间(如15分钟)后被访问,或允许用户根据需要锁定会话。会话锁定后,只能通过身份验证恢复对PC的访问。会话锁定通常是屏幕保护程序软件的一部分。
03 保护远程移动设备
许多远程移动设备可以通过企业移动设备管理软件集中管理其安全性。组织应尽可能利用此类安全管理功能,特别是对于组织控制的设备,例如,通过限制第三方应用程序的安装和使用,或通过向应用程序商店提供授权的、经过审查的应用程序,并且只允许应用程序从该应用程序商店中下载和安装。但是,许多设备需要手动保护。组织应向负责保护远程移动设备安全的设备管理员和用户提供安全指南。
建议对最常见类型的远程工作移动设备采取安全措施,比如:
■限制移动设备的联网能力。这对于具有多个无线功能的设备尤其重要;远程工作者甚至可能不知道某些无线协议正在使设备暴露给攻击者访问,例如蓝牙和共享无线网络。有时需要同时允许多个网络能力,例如允许语音/数据蜂窝接入和Wi-Fi同时进行。
■ 对于面临严重恶意软件威胁的设备,运行反恶意软件程序。连接到Internet的设备甚至可能有个人防火墙;应启用这些防火墙以防止攻击和未经授权的访问。
■ 确定设备制造商是否提供更新和补丁;如果提供,确保及时应用更新和补丁,以保护设备免受已知漏洞的攻击。
■强加密内置存储和可移动媒体上的存储数据。
■ 在访问组织资源之前,需要口令/通行码和/或其他身份验证。
■ 限制哪些应用程序可以通过白名单或黑名单安装。
强烈建议组织考虑将移动设备视为与PC相似或相同。这意味着PC的组织策略可以简单地扩展到移动设备;如果这两个策略保持分离,策略文件应相互大量交叉引用。
组织应该考虑利用移动设备管理(MDM)解决方案、移动应用程序管理解决方案(MAM)和其他技术来控制移动设备的使用。MDM解决方案能够代表组织强制执行各种安全策略,甚至在某种程度上在不受组织控制的移动设备上也是如此。例如,MDM软件通常用于要求使用PIN来解锁移动设备、启用加密技术来保护存储在移动设备上的敏感数据以及确定移动设备是否已被越狱或植根。当移动设备丢失或被盗时,MDM软件还可用于执行远程擦除,以防止对其包含的任何敏感数据进行未经授权的访问。一个组织可以为每一类移动设备设置不同的MDM策略,例如组织发布、第三方控制和BYOD,以考虑到每个设备可能提供给MDM解决方案的不同访问级别。MAM软件提供了一个将企业应用程序和数据与设备的其他部分隔离的环境。访问企业环境可能需要进行强身份验证,而企业环境也经过加密以保护组织的敏感数据和应用程序,并将这些应用程序向设备上运行的其他应用程序和服务的数据泄漏降至最低。如果设备丢失或员工离开组织,可以远程擦除受保护的环境以删除企业数据。
除MDM/MAM解决方案之外,组织可以依赖NAC解决方案,如前文中所述。NAC解决方案可以识别越狱或root的移动设备以及尝试连接到组织网络的移动设备上的其他主要安全策略违规。
04 保护远程工作客户端设备上的数据
远程工作通常涉及创建和编辑与工作相关的信息,如电子邮件、文字处理文档、电子表格。因为这些数据很重要,所以应该像对待组织的其他重要资产一样对待它们。一个组织可以做两件事来保护远程工作设备上的数据,一是在远程工作设备上保护它,二是定期将其备份到该组织控制的位置。组织也可以选择不允许组织的信息存储在远程工作设备上,而是将其集中存储在组织中。
1)加密静态数据
组织应该有一个策略,即当所有敏感数据位于设备和设备使用的可移动媒体上时,对其进行加密。创建和使用加密密钥对静态远程数据进行加密时,应遵循与组织保护静态数据的其他密钥相同的策略。
有许多方法可以在静止状态下保护数据,它们主要取决于受保护的设备或可移动媒体的类型。大多数操作系统都有自己的数据加密机制,也有许多第三方应用程序提供类似的功能。通常,当使用全磁盘加密等技术来保护PC机上静止的数据时,当设备将不使用一段时间或远程工作者将不和设备在一起时,远程工作者应关闭他们的远程工作设备,而不是让它们进入睡眠模式。这有助于确保静态数据和解密密钥受存储加密技术的保护。
2)使用虚拟机
控制远程工作者操作环境的一种方法是在远程工作PC上运行虚拟机(VM)。这通常是通过在远程工作PC的操作系统中运行一个虚拟机管理程序来完成的,但是一些较新的远程工作PC允许安装一个代替PC操作系统运行的管理程序,也就是所谓的裸机管理程序。裸机管理程序通常被认为比其他虚拟机监控程序更安全,因为有更小的软件可以受到攻击。
远程工作者在远程工作计算机上运行虚拟机镜像。当镜像需要更新时,组织会将新镜像分发给远程工作者。只要远程工作计算机本身没有任何恶意软件来攻击虚拟机,使用虚拟机来支持远程工作的安全性就可以正常工作。对于在主机操作系统中运行的虚拟机监控程序(即,不是裸机虚拟机监控程序),主机操作系统中的任何危害,都可能影响虚拟机和虚拟机映像的安全性。
组织应该考虑对所有用于远程工作的VM镜像进行加密,以减少泄露的风险。这可以通过使用全磁盘加密、文件加密或其他方式来实现。对于高风险情况,特别是涉及访问高度敏感信息的情况,组织应加密用于远程工作的每个单独的虚拟机镜像,还可能希望通过全磁盘加密提供第二层保护。
3)备份远程设备上的数据
大多数组织都有定期备份数据的策略。这种备份策略应涵盖远程工作PC和移动设备上的数据。但是,在外部位置执行的备份与在组织内部执行的备份,可能需要不同的规定。如果数据从远程工作设备备份到组织中的系统,那么传输/携带该数据的通信应加密并验证其完整性。例如,如果数据正在本地备份到可移动媒体(如CD或闪存驱动器),则备份应至少与原始数据一样受到保护。即如果原始数据是加密的,那么备份数据也应该加密。如果原始数据采用可移植的存储加密形式,例如通过虚拟磁盘加密或加密的VM镜像进行加密,那么将该加密的实体复制到备份媒体上就足够了。然而,对于不可移植的存储加密形式,如全磁盘加密,数据需要在远程工作设备上解密,然后加密以存储在备份媒体上。
六、远程访问生命周期的安全考虑
前述概念应该纳入到远程工作和远程访问解决方案的整个生命周期,涉及从策略到操作的方方面面。这里引用了一个五阶段生命周期模型(基于系统开发生命周期模型),以帮助组织确定在其远程工作和远程访问部署的哪个点上建议可能是相关的。组织可以遵循一种项目管理方法或生命周期模型,该方法或模型不直接映射到此处所示模型的各个阶段,但方法中的任务类型及其顺序可能是相似的。生命周期的阶段如下:
■第1阶段:启动。此阶段包括组织在开始设计远程工作或远程访问解决方案之前应执行的任务。其中包括确定远程工作和远程访问的需求(包括对BYOD设备和/或第三方控制设备的可能支持),为远程工作和远程访问解决方案如何支持本组织的任务提供总体设想,创建用于实施远程工作和远程访问解决方案的高级策略,开发远程工作安全策略,并指定解决方案的业务和功能需求。
■第2阶段:开发。在此阶段,工作人员将详细说明远程工作或远程访问解决方案及相关组件的技术特征。其中包括身份验证方法;用于保护通信的加密机制;以及用于控制对这些网络上的网络和资源的访问的防火墙和其他机制。还应考虑使用的远程工作客户端的类型,因为它们会影响所需的策略。应注意确保所有客户都能使用和执行远程工作安全策略。在此阶段结束时,将采购解决方案组件。
■第3阶段:实施。在此阶段,设备配置为满足操作和安全要求,包括系统安全计划中记录的远程工作安全策略,作为原型安装和测试,然后在生产网络上激活。实施包括更改其他安全控制和技术的配置,如安全事件日志记录、网络管理和身份验证服务器集成。
■第4阶段:操作和维护。此阶段包括远程工作或远程访问解决方案运行后组织应持续执行的与安全相关的任务,包括日志审查、攻击检测、事件响应和恢复。这些任务应记录在配置管理策略中。
■第5阶段:销毁。此阶段包括远程访问解决方案或其组件退役时发生的任务,包括保存信息以满足法律要求、消除介质和正确清除设备。
七、总结和评述
为了提高组织的远程工作和远程访问技术的安全性,并有效缓解由BYOD和第三方控制技术对企业网络和系统造成的风险,组织应执行以下建议:
1)基于外部环境包含敌对威胁的假设,规划远程办公的安全策略和控制。
组织应该假设外部设施、网络和设备面临恶意威胁,这些威胁将试图获得对组织数据和资源的访问。组织应该假设,在各种外部位置使用的、特别容易丢失或被盗的远程工作客户端设备将被恶意方获取,恶意方将试图从这些设备中恢复敏感数据,或利用这些设备访问企业网络。减轻丢失或被盗威胁的选项,包括加密设备的存储、加密存储在客户端设备上的所有敏感数据,或不在客户端设备上存储敏感数据。为了减少设备重用威胁,主要的选择是使用强身份验证,最好是多因素认证。
组织还应该假设外部网络上的通信不在组织的控制范围内,容易被窃听、拦截和修改。通过使用加密技术来保护通信的机密性和完整性,以及双向验证每个端点以验证其身份,可以减轻但不能消除这类威胁。
另一个重要的假设是远程工作客户端设备将受到恶意软件的感染。可能的控制措施包括使用反恶意软件技术,使用网络准入控制解决方案在授予访问权限之前验证客户端的安全状态,以及在组织的远程工作设施中使用单独的网络供内部使用的客户端设备。
2)开发远程办公安全策略,定义远程办公安全要求。
远程工作安全策略应定义组织允许的远程访问的形式,允许使用每种远程访问的远程工作设备的类型,以及授予每种远程工作人员的访问类型。它还应涵盖如何管理组织的远程访问服务器以及如何更新这些服务器中的策略。
作为创建远程工作安全策略的一部分,组织应自行做出基于风险的决策,决定应允许哪些类型的远程工作客户端设备进行何种级别的远程访问。采用分层次的远程访问级别,允许组织通过允许最受控制的设备具有最大的访问权限和最不受控制的设备具有最小的访问权限,来限制其带来的风险。例如,允许组织拥有的个人计算机(PC)访问许多资源,BYOD PC和第三方控制的客户端设备访问有限的资源集,BYOD智能手机和平板电脑只访问一个或两个风险较低的资源,例如webmail。
在制定有关远程访问授权级别的策略时,组织应考虑许多因素,例如,远程工作的敏感性、对远程工作客户端设备的安全态势的信心级别、与远程工作设备相关的成本、执行远程工作的位置等。
3)确保远程访问服务器被有效保护,并强制执行远程工作安全策略。
远程访问服务器的安全性尤其重要,因为它们为外部主机提供了访问内部资源的途径,并为组织发布、第三方控制和BYOD客户端设备提供了安全、隔离的远程工作环境。受损的服务器,除了允许对企业资源和远程工作客户端设备进行未经授权的访问外,还可用于窃听和操纵通信,以及为攻击组织内的其他主机提供“跳板”。对于组织来说,确保远程访问服务器保持完整补丁状态,并且它们只能由授权管理员从受信任的主机进行管理,这一点尤为重要。
组织还应仔细考虑远程访问服务器的网络部署,需要考虑的因素包括设备性能、流量检查、未保护流量和NAT。在大多数情况下,服务器应放置在组织的网络边界。
4)保护组织控制的远程工作客户端设备免受常见威胁,并定期维护其安全。
远程工作客户端设备面临许多威胁,包括恶意软件和设备丢失或被盗。由于远程工作设备通常在外部环境中面临比企业环境中更大的风险,因此建议使用更强的安全控制,例如加密存储在设备上的敏感数据。若有可能,组织应使用能够为其远程工作客户端设备支持多个策略的个人防火墙,并至少为企业环境和外部环境正确配置防火墙。
组织应该确保所有类型的远程工作客户端设备都是安全的,包括个人电脑、智能手机、平板电脑。对于除PC外的其它设备,安全能力和安全操作因设备类型和特定产品的不同而存在很大差异,因此组织应向负责保护远程移动设备安全的设备管理员和用户提供有关如何保护它们的指导。
5)强烈建议为非组织控制的外部设备(如BYOD、第三方控制设备)建立一个单独的外部专用网络。
如果允许个人拥有的和第三方控制的客户端设备直接连接到组织的企业网络,一旦这些设备存在于组织的内部网络上,就会增加相当大的风险,因为这些设备的安全性通常与组织控制的设备不同。然而,通过在企业内建立专门用于这些设备的单独有线或无线网络,可以在很大程度上减轻这种风险。这个网络应该是外部的(例如,离开组织的非军事区(DMZ)),并且不允许用户通过远程访问对企业资源的更多访问。该网络的安全和监控方式应与远程访问段的安全和监控方式一致。
6)建议企业用户选用奇安信蓝信安全移动办公平台。
蓝信安全远程移动办公平台,专门面向大中型政企组织,是远程办公和安全相融合的一体化解决方案。
安全能力是蓝信平台的核心竞争力。作为国内首家通过公安部等保三级认证的产品,蓝信充分借鉴NIST远程办公安全标准,在架构安全、客户端安全、传输安全、服务端安全、数据安全、业务安全等全方位采取安全控制手段,并可提供增强的基于零信任的移动访问控制能力。目前拥有外交部、交通运输部、水利部、新华社、国家知识产权局、北京市政协等3000多家大型政企组织、700多万用户。目前蓝信对中小企业免费开放,助力企业尽快恢复生产运营,受到包括央视《新闻联播》在内的多家中央级媒体及重点栏目的报道。
蓝信平台是目前唯一支持国密的“移动信息传输加密平台”类别产品。融入国产操作系统生态(PK-S体系),已完成对国产CPU、国产操作系统、国产数据库的适配。已获得《商用密码产品型号证书》。并支持用户私有化本地部署。
蓝信具备专属化服务能力和“打包式”集成能力。可为客户定制场景化的开发需求,也能提供类似传统行业交互团队的客户服务、客户成功、运维支持三大专属化服务团队。蓝信开放平台服务提供了标准的接口能力,OA、ERP系统、HR系统、财务系统等企业传统办公信息化系统,可以在蓝信中实现“打包式”集成,打破数据烟囱,降低改造成本,快速实现移动化。关于蓝信安全移动办公平台,可参见 《中国电子推出基于PKS体系的蓝信移动办公平台免费使用方案》。
声明:本文来自奇安信战略咨询规划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
