什么是安全远程访问？

远程和混合工作将继续存在。远程员工享有明显更高的生产力和更好的工作与生活平衡——员工和管理者之间更强的自主权和信任感进一步为更高的保留率铺平了道路。 

然而，安全地释放安全远程访问的优势是一个巨大的挑战。对于许多人来说，远程设备访问是在大流行初期首次引入的，虽然大杂烩解决方案有助于解决随后的混乱，但太多组织仍然依赖有缺陷的远程访问方法。例如，传统的 VPN 成为俄罗斯支持的殖民地管道攻击的中心，该攻击导致整个美国东部的天然气供应停止，拜登总统发布了国家紧急状态。 

数据访问是一个悖论：一方面， 远程工作的生产力 取决于用户访问文件和系统资源。这些数据需要同时可供用户访问，并且攻击者无法访问。

安全远程访问技术和概念

将经过身份验证的用户连接到敏感内部网络的过程可能充满危险。无论是严格的数字卫生要求员工重复使用密码，还是某些员工希望使用自己的个人设备，标准化的远程访问都很难保证安全。以下是一些最常见的安全远程访问软件技术。 

VPN

虚拟专用网络 (VPN) 提供了最早的安全远程访问软件之一。传统上，VPN 通过网络访问服务器路由员工的连接。这允许员工通过公共互联网连接到公司网络；任何传入或传出公司网络的数据都经过加密。在连接到网络访问服务器之前，基于凭据的身份验证会验证使用该设备的人员。身份验证过程可以是服务器独有的，也可以是在网络上运行的单独身份验证服务器。 

虽然 VPN 很有用，但默认情况下允许访问整个公司网络，这意味着受感染的帐户可以享受广泛访问的所有好处。更糟糕的是，凭证盗窃仍然是 VPN 的一个特别棘手的话题， 因为员工经常重复使用密码 跨内部和远程访问设备。 单个重复使用的 VPN 密码 现在被认为是 Colonial Pipeline 勒索软件攻击的基本进入方法。 

多重身份验证 

多因素身份验证 (MFA) 位于基于凭据的身份验证过程之上，是避免凭据泄露问题的一种方法。 MFA 的目标是通过第二个因素（例如电话）验证连接用户的身份，然后才能访问敏感的公司数据。许多 VPN 提供商都提供 MFA 的实施，有助于简化访问安全协议。这使得远程访问与登录电子邮件和文件共享应用程序保持一致。  

零信任网络访问

零信任网络访问 (ZTNA) 旨在解决 VPN 的主要缺陷之一。 ZTNA 平台不允许完全访问目标网络，而是仅将用户连接到他们需要的特定应用程序和系统。这是通过一系列解决方案来实现的。首先，用户的连接请求需要进行身份验证；为此，信任经纪人最好与组织现有的身份提供商集成。成功后，ZTNA 会返回策略引擎，该引擎定义每个用户的访问级别。最后，用户直接连接到他们需要的应用程序。这种细粒度的网络访问方法使威胁行为者（即使是那些拥有完全受损帐户的人）无法横向移动。 

安全访问服务边缘 (SASE) 是一种新的远程安全模型，它采用 ZTNA 定义的软件边界，并将其与其他基于云的安全解决方案相结合。例如，虽然 ZTNA 提供特定于应用程序的访问， 集成的云访问安全代理（CASB）评估每个应用程序数据处理的安全性。通过识别恶意应用程序行为来监控公司数据。同时，SASE 将防火墙保护转移到云端，而不是传统的网络外围。安全团队受益于合规违规行为的实时视图，而远程和高度移动的员工可以从公司网络发送和接收数据。在整个组织内实施一致的安全策略。

为什么安全远程访问很重要？

虽然远程工作在 2020 年之前就已确立，但 Covid-19 大流行是远程工作成为主流的催化剂。这加速了用户按需访问组织网络的需求；组织网络突然必须支持同时从多个不同位置进行访问。现在绝大多数连接都源自员工的家庭网络，并且许多员工还使用个人设备。这放大了企业和个人网络面临的风险，并且常常使旧的安全措施失效。

最初这是一个令人头痛的技术问题。然而，许多组织已经发现了远程工作的文化和经济效益：许多企业现在可以根据资格而不是地点自由招聘。另一方面，不断发展的攻击团体已经可靠地成为无法满足对数据和网络卫生日益增长的需求的组织的受害者。此外，脆弱性仍处于历史最高水平；这迫使安全远程访问成为全球 IT 和安全部门的首要优先事项。在每个行业中，新的安全基线正在促进每个用户从他们拨入的任何网络、在他们选择的每台设备上进行远程系统访问。

安全远程访问有哪些风险？

远程访问的风险因远程访问解决方案的风格而异。以下是一些最流行的远程访问方法所带来的一些安全和用户担忧。

宽松的远程访问策略

VPN 解决方案中最常见的问题是，允许访问策略定义了通过整个网络的访问。虽然防火墙规则通常允许访问公司网络上的几乎所有内容，但即使是现代远程访问软件也需要仔细的访问配置。需要仔细划分用户权限，否则帐户泄露的影响范围将远远大于其他情况。

远端装置

当远程工作突然成为主流时，许多组织面临着购买家庭设备（同时承受广泛中断的损失）或允许员工使用自己的笔记本电脑的选择。这为硬件供应链漏洞的大幅增加打开了大门。例如，华硕家用 WiFi 路由器的弱点最近为俄罗斯支持的 Sandworm 攻击铺平了道路。 

统计上 BYOD 更值得关注的方面 是缺乏对内部数据提供的加密。这带来了公司资产暴露的风险，特别是当设备被盗或以其他方式从用户家中移走时。 

劳动密集型设置

虽然 VPN 历史上不提供 对远程访问的最大保护，它们比一些新奇的解决方案更容易设置。例如，SASE 的实施需要对身份验证策略进行全面改革。鉴于网络需要在此过程中保持运行，因此从头开始构建新网络通常更容易。这对于旧机器和遗留机器来说也是一个严重的问题 - 如果这些与零信任的安全远程访问协议不相容，许多组织发现自己几乎必须从头开始。 

缺乏用户可见性

远程工作时，安全团队监控每个端点设备的状态变得尤为重要。了解这一点有助于主动阻止恶意软件在远程组织中的传播。然而，即使在许多现代解决方案中，本地网络上的流量吞吐量也是极其不透明的。由于无法监控此流量，识别高级威胁变得更加困难，从而增加了远程设备受到攻击的可能性。让事情变得更加复杂的是，安全分析师现在也经常在家工作——可见性的缺乏是双重的，并且存在盲人领导盲人的风险。这种组合可以让攻击者深入企业网络。

恶意访问

根据设计，远程访问使用户能够从组织外部访问敏感数据和系统。因此，能够利用不安全技术并未经授权访问网络或远程连接设备的攻击者可能会窃取机密信息、引入恶意软件或勒索软件，或扰乱业务运营。

可以通过利用远程访问技术本身的漏洞来获得未经授权的访问，例如弱密码、未修补的软件、错误配置的安全设置或浏览器。他们也可能使用 社会工程技术与网络钓鱼一样，诱骗远程用户泄露其登录凭据或其他敏感信息。

帐户接管攻击

恶意访问的一个子集是帐户接管，即攻击者获得对合法用户凭据的访问权限并执行身份盗用。对于组织来说，这意味着攻击者可以将自己伪装成合法用户，并根据用户的权限在系统中横向前进。

用户凭据可以通过多种方法遭到破坏，包括社会工程（如网络钓鱼攻击）、暴力攻击和密码猜测。攻击者还可能能够拦截远程访问会话或利用远程访问工具本身的漏洞来访问系统或资源。

安全远程访问有哪些好处？

安全远程访问对员工的好处主要在于增强和灵活的安全立场。安全远程访问的主动方法允许在组织的各个方面体现攻击缓解流程，从而保护客户和最终用户等。

安全网络访问

每个团队所需的基于 Web 的应用程序的数量每年都在增长。用户需要对互联网连接的每个组件进行保护；通过正确的安全远程访问方法，用户在连接到互联网时都会受到保护，而不仅仅是在直接使用公司资源时。通过公共互联网的持续保护，当今的超级攻击性威胁（例如勒索软件和偷渡式下载）实际上可以被消除。

强大的端点保护

围栏数据库的时代早已一去不复返了。通过现代安全远程访问，端点可以获得全面保护。由于用户越来越依赖多种设备（从笔记本电脑到智能手机），安全远程访问解决方案需要反映这种多端点关注。除此之外，团队可以依靠保护员工拥有的设备的安全性 – 提供 与组织提供的端点安全性相同.  

安全问题意识增强

通过坚实的端点安全基础（无论员工位于何处），组织可以帮助建立网络安全意识文化。通过维护和执行可靠的安全策略，监管最佳实践成为组织面对不断变化的威胁时采取安全立场的跳板。 

远程工作的灵活性

由于能够从任何地方安全连接，员工不必亲自到办公室来执行任务。相反，他们可以在家、在路上甚至在海滩工作。这使他们能够将工作融入其他日常要求和义务中，例如照顾孩子或旅行。此外，远程工作扩大了公司的人才库，因为他们可以从任何地方雇用员工，而不必局限于愿意通勤到实体办公室的员工。 

安全远程访问的最佳实践

遵循最佳实践使组织能够继续在实现真正远程保护的道路上进行调整。为所有远程用户制定深入的安全策略至关重要：这将有助于指定哪些协议定义远程访问、允许连接哪些设备、允许这些设备的用途，以及最终消除丢失威胁的策略和被盗的设备。

最佳实践可以分为三个主要领域。首先也是最重要的是保护和管理端点的能力。云中的代理服务距离太远，无法提供此类端点可见性；这就是最佳实践支持端点优先可见性的原因。其次是加密。所有数据在任何传输过程中以及在每个员工的设备上静态时都必须加密。此级别的加密充当保护层。在此基础上建立了身份验证机制和全面的防病毒解决方案，确保即使攻击者确实设法破坏设备，他们也无法利用任何敏感数据。最后，安全需要承诺预防威胁。现有的解决方案需要识别、减轻和阻止潜在的网络威胁，以免它们对组织的系统或数据造成损害。这种缓解措施可以（并且应该）通过安全控制和解决相关安全风险的组织流程来实现。有了这些最佳实践，组织就能够为在家团队提供远程工作的全部好处。

使用 LayerX 让远程访问更安全

LayerX 是一种浏览器安全解决方案，位于应用程序层的第 7 层，提供全面的安全访问保护和可见性。这是通过提供强大的身份验证和授权流程、阻止网络内部和外部的操作（例如复制/粘贴、下载、访问特定网页、以只读模式显示应用程序等）并与ZTNA、SASE、IdP（Google、Okta、即将推出的 Azure 等）和其他解决方案。此外，LayerX 还提供对网络和 Web 上用户操作的可见性。

LayerX 可以与 VPN 和 MFA 等远程访问解决方案集成，但它通过提供强大的多因素身份验证使它们变得多余。此外，LayerX“始终在线”，确保始终提供保护和阻止攻击。这与 VPN 不同，用户需要连接到 VPN 才能运行。

LayerX 是唯一提供完整安全访问同时还与其他网络安全解决方案集成的解决方案。