安全遠端存取 | 保護遠端員工免受網路威脅
這場普遍的流行病加速了向遠端工作環境的轉變,需求 IT 組織迅速讓員工可以安全地在家裡工作。企業已經看到啟用遠端員工所帶來的多項嚴重性成果,讓遠端員工逐漸成為公司成功的一部分。
不幸的是,大多數組織的 IT 網路並非為長期支援大量遠端員工而建置。IT 專業人員需要重新檢視他們的網路與安全性策略,以確保能將遠端存取的安全功能擴展至大幅增加的遠端員工群組。更重要的是,IT 人員需要一致的可視性、管理和執行,以保護不斷成長的遠端員工免受網路威脅,同時確保最佳化的使用者體驗,而且他們除了要支援企業週邊 (即企業總部或分公司內) 的員工外,還需要做到這一點。
本文將全面介紹安全遠端存取、實現安全遠端存取的技術,以及組織在成功部署安全遠端存取策略後所獲得的效益。
什麼是安全遠端存取?
安全遠端存取是規則、流程、軟體和硬體的集合,可為實際不在組織總部或分公司內的員工、廠商和其他可信賴的夥伴,提供安全存取和資料可用性,包括區域網路或雲端託管的應用程式和服務。安全的遠端存取可讓這些個人與實際位於組織內的員工使用相同的資源。
為何安全遠端存取很重要?
安全的遠端存取非常重要,原因有三:保障並保護智慧財產;提高員工的生產力,以及增強組織的競爭優勢。 當員工可以隨時隨地安全地工作時,組織就可以有信心地達成目前的目標,並創新以實現新的目標。
安全的遠端員工
安全的遠端員工包括不在組織總部或分公司內的員工、供應商和其他可信賴的合作夥伴。安全的遠端員工需要 安全地遠端存取組織的 IT 網路 ,以便在不在公司現場時仍能維持生產力。
安全遠端存取技術
有多種硬體和軟體技術共同合作,為組織的遠端員工提供安全的遠端存取。組織所選擇的技術取決於組織的規模、文化,以及與遠端員工的規模相比,組織所維持的現場員工人數。在此,我們檢視常用的安全遠端存取技術。
安全存取服務邊緣 (SASE)
SASE 是將廣域網路 (WAN) 和 網路安全性服務(如 CASB、 SWG、 FWaaS和 零信任網路存取 (ZTNA))融合為單一雲端交付的服務模式。
![]()
SASE 模式可讓遠端員工安全地遠端存取企業應用程式、資料和工具。
安全遠端存取的 SASE 模式 可讓企業從以周界和硬體為基礎的網路安全性方法,轉變為提供安全遠端存取企業應用程式、資料和工具的方法,讓分散各地的遠端員工,無論是在家中、分公司或企業總部工作,都能安全地存取企業應用程式、資料和工具。
虛擬私人網路 (VPN)
虛擬專用網路,或稱 VPN,透過加密隧道提供安全的遠端存取,將使用者的電腦或裝置連接到組織的 IT 網路。VPN 可使網際網路連線更安全,並提供線上隱私和匿名性。
各種規模的組織、政府和企業都會使用 VPN 來安全遠端存取資料中心資源或公司區域網路 (LAN)。個人 VPN 也廣受歡迎,因為它能保護使用者的位置隱私、安全加密資料,並允許使用者匿名瀏覽網頁。
VPN 可透過端點上的用戶端軟體或無用戶端網頁瀏覽器來部署。使用後者時,使用者通常會導航到 HTTP/HTTPS 入口網站,透過 VPN 服務供應商與伺服器或應用程式建立 SSL/TLS 加密連線。
網路 Proxy
Proxy 是一種常用的連線方式,通常與安全網路閘道 (SWG) 搭配使用。Proxy 伺服器會終止使用者與網路之間的連線,然後代使用者向終端目的地傳送請求。Web Proxy 可以為應用程式或連線使用者提供額外的隱私保護。與傳統 VPN 類似,Web 代理流量通常不會受到威脅檢查,這會增加應用程式和使用者的額外風險。Web Proxy 只適用於 Web 請求,並不提供所有裝置流量的加密。
零信任網路存取 (ZTNA)
零信任網路存取 (ZTNA) 技術可根據已定義的存取控制政策,提供安全的遠端存取應用程式和服務。預設情況下,透過 ZTNA 進行的安全遠端存取會拒絕所有使用者的網路存取權限。相反地,網路管理員設定使用者權限,讓他們只能存取使用者執行工作所需的應用程式和服務。一旦使用者通過 ZTNA 服務的驗證,ZTNA 服務就會透過安全的加密隧道,佈建使用者的應用程式和服務層級存取。此加密隧道可透過遮罩原本可公開存取的 IP 位址,提供安全的遠端存取。
使用 Prisma Access 的零信任網路存取 (ZTNA)![]()
遠端存取
遠端存取 (Remote desktop access) 是一種較舊但仍然流行的資源存取方法,通常是在公司區域網路上。在這種情況下,使用者會連線到位於 LAN 上的實體或虛擬運算實例。受歡迎的範例包括遠端桌面協定 (RDP) 和虛擬網路運算 (VNC)。
雖然遠端存取桌面有其便利性的優點,但一般不建議使用此方法,因為此方法會為企業網路帶來重大的安全性風險。由於組織的大部分資料都分佈在第三方 SaaS 應用程式中,直接存取這些應用程式是另一個選擇。安全性團隊可能會實作 Web 應用程式防火牆 (WAF)、 資料遺失防護 (DLP) 或雲端存取安全代理 (CASB) 解決方案,以確保應用程式中的資料安全。
安全網路閘道 (SWG)
安全網路閘道 (SWG) 可保護使用者免受網路威脅,並包括應用和執行企業可接受的使用政策。SWG 可將使用者連接到 SWG,而非直接連接到網站,從而提供安全的遠端存取。SWG 接著將使用者連接到所需的網站,並執行如 URL Filtering、惡意內容檢查、網頁存取控制及其他安全措施等功能。
遠端瀏覽器隔離 (RBI) 解決方案 與 SWG 功能相輔相成,提供額外的方法來保護使用者的網頁流量。RBI 解決方案隔離網頁瀏覽內容,讓使用者可以看到他們要求的內容,但內容本身不會傳送到端點裝置。此方法可實現預期的使用者體驗,但內容本身會存放在隔離的伺服器上,不會對網路安全性造成威脅。
網路存取控制 (NAC)
網路存取控制 (NAC) 是 IT 技術與政策的組合,用以管理和監控所有嘗試存取企業周界內企業網路的裝置的網路存取。當使用者身處辦公室時,NAC 只允許符合預先定義安全性政策的認證行動使用者擷取企業網路中可用的專屬資源。
NAC 策略可協助 IT 專業人員檢視並管理裝置的網路存取,而無需直接將裝置發給將裝置連接至網路的使用者。然而,整體而言,NAC 是一種 不如 其他技術和策略 有效的安全遠端存取方式 。
單一登入 (SSO)
單一登入 (SSO) 技術可讓使用者使用單一使用者名稱和密碼存取多個網路應用程式。使用者喜歡這種安全方式,因為他們只需要記住一個使用者名稱和密碼,就可以存取多個應用程式和系統。然而,SSO 所固有的易用性優點也讓惡意行為者更容易滲透組織的網路。由於 SSO 可能會造成安全漏洞,這些技術應該與其他安全策略和技術一起使用,以提供安全的遠端存取。
特權存取管理 (PAM)
特權存取管理 (Privileged Access Management, PAM) 是技術與流程的組合,可根據使用者指定的存取等級或「特權」,提供使用者存取各種應用程式、系統或流程的權限,被視為組織的 身分與 存取管理 (Identity and Access Management, IAM) 策略的一部分。網路安全的 PAM 方法可辨識組織內的不同角色,然後只指派這些角色存取其工作所需的工具和應用程式。例如,典型的辦公室員工可能會被指派存取基本辦公室應用程式和文件磁碟機的權限,但他們卻沒有存取權或「權限」,無法變更組織員工目錄內的資訊。此方法適用於在企業週邊範圍內存取組織網路或透過安全遠端存取的員工。
安全遠端存取的優點
有了全面的安全遠端存取策略,網路安全專業人員就能簡單有效地做到三件事:從任何裝置提供安全存取;保障網頁瀏覽安全;以及在組織內部培養安全意識。安全的遠端存取 讓員工可以隨時隨地安全地工作,協助組織有信心地達成目前的目標,並創新以實現新的目標。
可從任何裝置安全存取
有了全面的安全性遠端存取策略和技術,網路安全性專業人員就能隨時隨地透過任何裝置,監控和管理與資料相關的網路連線。無論網路連線是來自個人行動裝置、供應商筆記型電腦,或是組成物聯網 (IoT) 的越來越多具備網際網路功能的裝置,組織的網路安全性團隊都能一覽無遺,並確保所有裝置都能安全可靠地使用企業應用程式和資料。
安全網頁瀏覽
大多數的網頁瀏覽器,例如 Google Chrome,都會提供某種程度的安全性,以提供安全的網頁瀏覽體驗。然而,成功的安全遠端存取策略可讓組織對網頁瀏覽體驗有更多的控制權,不再單靠網頁瀏覽器廠商提供安全的網頁瀏覽體驗。有了多種安全遠端存取技術,網路安全專業人員就能維持安全的網頁瀏覽體驗,將潛在安全威脅或惡意行為者的網路暴露降至最低。
安全意識開發
員工的安全意識仍是組織最大的安全挑戰。安全的遠端存取策略可為組織提供技術,讓許多日常網路安全性管理作業自動化、簡化。此支援可讓網路安全專業人員專注於教育使用者最新的安全威脅,以及監控可能威脅組織使用者、資料和作業的新漏洞或演變中的漏洞。
安全遠端存取解決方案
組織有 多種安全遠端存取解決方案可供考慮。網路和網路安全性專業人員在發展和部署有效的安全遠端存取解決方案時,需要牢記組織的規模、文化,以及企業周圍的員工數量與遠端員工人口的比較。
探索您如何提供安全的遠端存取 ,並確保員工無論現在或未來,都能從任何地方安全地工作。
