为企业服务设计远程访问架构的建议
在决定如何允许远程用户访问企业资源时,需要考虑许多安全问题。本指南概述了解决此问题的两种方法,一种是传统的基于 VPN 的远程访问架构,另一种是零信任架构。
如果有本地资源,使用传统的基于 VPN 的远程访问架构 -围墙花园方法 -是平衡远程可用性与妥协风险的一种方法。
如果本地服务很少或没有,零信任架构 可能非常有效。
这两种方法不是启用远程访问的唯一选项,也不是相互排斥的。如果需要,可以采用混合方法,采用每个方法的属性。
如果需要使用传统的远程访问方法,采用零信任架构中的一些原则和防御措施将减轻额外的威胁,并在未来更轻松地过渡到完全零信任网络。
1、传统的基于VPN的远程访问架构
传统的远程访问架构将远程访问架构分为强大的外部边界和多个使用防火墙分隔的内部层。
关键部件
在高层次上,这个围墙花园的这些层是:
-
接入层,验证远程设备。来自远程设备的网络流量被困在这里,除非它随后可以对本地服务进行身份验证
-
表示层,根据公司政策代理对内部服务的访问
-
核心网络,包括内部部署服务
-
互联网网关,提供对远程网站和企业云服务的代理访问
如何建立传统的远程访问架构
首先,如果用户正在设计一个新网络,可以考虑采用零信任网络方法。在有大量本地部署和/或遗留服务可供使用的情况下,传统架构仍然有意义。但是,对于主要使用云服务的组织来说,零信任方法可能会更好。
对于传统架构,包含所有层的解决方案在允许访问企业服务之前应要求用户和机器身份验证。这两者应该捆绑在一起,以便特定用户只能访问他们分配的设备。通常,访问层将执行机器身份验证,而表示层将执行用户身份验证。
接入层
一些部署将有一组可供所有远程用户访问的服务(因此设计非常简单),其他部署将需要更复杂的身份验证和授权解决方案,以使不同的远程用户能够访问特定服务,这可能取决于设备类型. 用户和设备可以访问哪些服务将取决于访问层内实施的规则。
访问层应验证客户端并终止其虚拟专用网络 (VPN)连接。访问层还提供防御来自 Internet 的内部服务的网络级攻击。这些防御可能包含在 VPN 服务中。如果没有,您可能需要在网络边界上使用单独的设备,例如防火墙,仅允许 VPN 流量进入接入层。
除非明确要求,否则应在接入层中设置路由规则以阻止远程设备相互通信。
表现层
表示层向设备提供企业服务的子集,在用户连接到企业服务时对其进行身份验证。
如果可行,应该尝试在远程设备和中央服务之间提供一个抽象层。这通常涉及破坏端到端加密(如在反向代理或负载平衡器中发生的那样)。例子包括:
-
只读域控制器 (RODC)
-
远程桌面/应用服务
-
反向身份验证代理代理对内部 Intranet 站点的访问
在表示层中使用抽象降低了受感染设备对企业服务进行网络攻击的风险。如果需要,可以在此处使用保护性监控工具。
互联网网关
一些组织需要代理服务器来拦截流量以进行监控或阻止对 Internet 服务的访问。Internet 网关通常用于实现此目的,并将使用部署到设备的自定义 CA 证书使其能够检查加密流量。
虽然立法可能要求组织监控网关中的用户流量,但出于安全原因,保护性监控在通过安全配置(请参阅详细的平台指南)或安全应用程序部署到设备时通常更有效。VPN 指南中给出了使用拦截代理的其他几个原因。
2. 零信任架构
零信任架构消除了网络固有的信任,同时建立了对每个请求的信心。这是通过强身份验证、授权、设备运行状况和所访问数据的价值构建上下文来实现的。
每个连接都经过严格的身份验证并根据允许的策略进行检查,如果未明确允许,则连接将被丢弃。
如果采用得当,这种方法有很多优点,但如果犯了错误,也会带来额外的风险。
为零信任架构做准备
虽然架构组件在零信任网络方法中看起来要简单得多,但将身份验证和加密机制实施为相同或更高的标准仍然很重要。拥有强大的设备配置也变得更加重要,因为设备面临更大的风险。
单一强大的用户身份来源
用户身份是零信任方法的基础。通过将用户的角色整合到单一的事实来源中,可以为用户访问数据构建可靠的规则。通常的方法是为组织使用单个用户目录并创建与个人相关联的账户。然后要启用精细访问控制,可以为每个用户创建特定的角色。然后,该目录可用于计划在内部和外部使用的所有服务。
用户认证
应该对用户进行强身份验证,使用多因素身份验证来减轻密码攻击。身份验证应使用企业单点登录 (SSO) 服务,该服务访问单一用户身份来源。这可以自动化并简化用户的凭证管理。它还简化了加入者/移动者/离开者流程。
机器认证
机器身份验证可以与用户身份验证同时进行,并且可以是隐式的。例如,发给单个用户的设备本身执行用户身份验证,可以在执行机器身份验证时将信任“传递”给服务。
用于机器身份验证的凭据应尽可能紧密地绑定到设备,使用硬件保护存储(例如 TPM)。在可能的情况下,私钥应保存在 TPM 和使用的密钥证明中。
其他上下文,例如政策合规性和设备运行状况
许多身份验证服务可以与一项或多项移动设备管理服务集成,以确保身份验证设备在被允许访问公司数据之前符合公司策略。这通常通过向符合要求的设备颁发短期证书并使用 MDM 分发证书来实现。然后将该证书用于设备身份验证,隐式声明合规性。
一些身份验证服务开始将设备健康证明作为其合规性决策的一部分。这是一种强大的技术,可用于做出强有力的断言,即连接设备已安全启动并在访问企业数据时保持良好状态。如果环境支持设备运行状况证明功能,则应启用这些功能。
访问应用程序的授权策略
在传统的远程访问架构中,表示层用于限制对远程设备不应访问的企业应用程序的直接访问。
在零信任网络方法中,不可能像这样控制网络路由,因此必须在其他地方实施授权执行。通常,这将在身份验证点进行。这可以通过企业应用程序前面的反向代理服务或单点登录服务来实现,该服务发布令牌以访问企业应用程序。在任一情况下,如果访问请求不符合策略,服务将拒绝授权对应用程序的访问。
在授予企业应用程序访问权限之前,身份验证服务可能还需要满足特定的先决条件。例如,您可能需要对某些企业应用程序进行多因素身份验证,而对其他应用程序则不需要。同样,可以授权过期设备访问MDM,但不能授权访问公司电子邮件。
应用程序内的访问控制策略
在企业应用程序中,可能希望使用访问控制进一步控制对特定资源的访问。大多数服务将允许您向特定授权用户授予访问权限,但零信任网络方法还允许将更多上下文纳入该访问决策中。
例如,可能希望在用户访问文件存储中保存的敏感公司文档之前需要多因素身份验证。同时,单因素授权可用于同一文件存储中的低安全性文档。这在自带设备(BYOD) 部署中可能是有益的,在这种部署中,个人设备可能被允许访问公司数据的子集。
此模型要求身份验证服务使用SAML 或OpenID Connect等技术将授权上下文的详细信息传递给企业应用程序。这种类型的配置目前尚未广泛实施,因此您应该检查身份验证服务和企业应用程序提供商支持哪些配置。
如何建立零信任网络
-
零信任网络相对较新,最佳实践可能会随着时间的推移而发展。定期重新审视用户方法以确保利用最新功能并且您的策略仍然有效非常重要。
-
企业应用程序现在已超出范围。每一项可访问 Internet 的服务都需要针对攻击进行强化。应该遵循在云中部署的最佳实践,并确保每个服务都需要强大的用户和机器身份验证。
-
实施 强用户身份验证,要求对每个暴露的服务进行多因素身份验证 ,包括管理服务。考虑使用无密码身份验证来减轻对用户密码的攻击。
-
如果可能,使用基于硬件的凭据实施机器身份验证,同时考虑合规性和健康证明。
-
监控来自身份验证服务和企业应用程序的日志。
在无法采用完全零信任网络方法的情况下,实施传统的远程访问架构和尽可能多的零信任网络建议。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论