Управление рисками и защита активов в распределенной среде рабочей силы должны включать полное использование удостоверений и функций управления доступом, предлагаемых Azure и Виртуальным рабочим столом Azure. Амол Далви, вице-президент по продуктам в Nerdio, делится ключевыми соображениями, которые следует учитывать для лучшего управления рисками.
Управление рисками сосредоточено на оценке общего уровня риска предприятия, в частности на определении того, какие данные и активы представляют большую ценность и представляют высокую угрозу атаки, а также на разработке стратегии снижения рисков для защиты этих ценных активов. Управление рисками стало более сложной задачей в текущей облачной, гибридной среде и среде виртуализации. При распределенной рабочей силе очень важно определить, какие удаленно используемые приложения и данные представляют высокий риск, и как ИТ-специалисты и специалисты по безопасности могут защититься от атак, не снижая производительности сотрудников. Также крайне важно изучить средства управления безопасностью доступа во внешних, сторонних средах для совместной работы, чтобы убедиться, что эти средства управления поддерживают цели управления рисками.
Для групп, занимающихся администрированием общедоступных облачных сред и сред виртуализации, таких как облако Azure и виртуальный рабочий стол Azure, защита ценных ресурсов будет включать в себя использование различных функций безопасности Azure для дальнейшего снижения рисков и постоянную бдительность в отношении методов защиты от угроз, таких как установка исправлений и обновлений.
Снижение риска с помощью Azure и AVD
В то время как запуск рабочего стола в облаке по своей сути снижает риск, Azure и AVD могут снизить риски еще больше. Вот пять аспектов, которые следует учитывать:
1. Обратное подключение:
В прошлом открытые порты, необходимые для виртуальных рабочих столов на основе RDS (службы удаленных рабочих столов), часто были серьезной проблемой безопасности. Использование протокола TCP (протокола управления передачей) для прослушивания этих открытых портов создает уязвимость для вредоносного входящего трафика. Напротив, AVD использует транспорт обратного соединения для установления удаленного сеанса и для передачи трафика RDP (протокол удаленного рабочего стола). Использование исходящего подключения к AVD через HTTPS-соединение устраняет необходимость во входящих портах, тем самым снижая риск.
2. Образы рабочего стола:
Все пулы узлов AVD, которые обслуживают виртуальные рабочие столы для конечных пользователей, основаны на образе рабочего стола, которым могут управлять ИТ-администраторы и специалисты по безопасности. Они могут проверять приложения, к которым получают доступ их конечные пользователи, и обеспечивать установку нужных приложений на образы. Вместо того, чтобы пытаться управлять множеством используемых оконечных устройств или различными пулами узлов, ИТ-специалисты могут следить за безопасностью, сосредоточив внимание на образах рабочих столов.
3. Удаленное управление приложениями
Хотя это не новость для AVD, возможность публиковать отдельные приложения для конечных пользователей вместо полного рабочего стола — это то, что часто упускается из виду как отличный способ снизить риск безопасности. Контролируя, к каким приложениям имеют доступ конечные пользователи, ИТ-администраторы могут ограничивать доступ к данным. Удаленный работник, например, может иметь доступ к приложению, необходимому для его рабочего процесса, но не будет иметь доступа к данным, которые не имеют отношения к его должностным обязанностям.
Неразборчивый доступ к данным и слабый контроль могут привести к таким инцидентам, как Инвестиционное брокерское приложение Cash App данные нарушения. По словам ее материнской компании Block, бывший сотрудник был причастен к взлому, который затронул более 8 миллионов пользователей в США. Согласно опубликованному отчету The Ascent, бывший сотрудник мог даже получить доступ к торговой деятельности клиента за день и стоимость портфеля.
В других отчетах выяснилось, что бывший сотрудник имел законный доступ к отчетам и информации о клиентах для выполнения своей работы. Однако после того, как они перестали работать в компании, они все еще могли получить доступ к данным, что привело к нарушению.
Узнать больше: DIY, DaaS или облачный ПК: какой подход к виртуальным рабочим столам лучше?
4. Управление идентификацией:
AVD использует Azure AD (Active Directory) для управления идентификацией. Аутентификация выгружается в Azure AD, что позволяет ИТ-администраторам использовать функции безопасности, присущие Azure AD. Microsoft называет свой нынешний подход «новый плоскость управления», которая использует условный доступ Azure AD для анализа ряда сигналов, чтобы принять решение о доступе к приложению. Сигналы включают членство пользователя или группы, IP-адрес, устройство, приложение и обнаружение рисков в реальном времени. Элементы управления условным доступом срабатывают после завершения проверки подлинности по первому фактору.
Microsoft также предлагает «гибридную идентификацию» с Azure AD для управления доступом пользователей к локальным и облачным приложениям. Он создает общий идентификатор пользователя для аутентификации и авторизации всех ресурсов, независимо от их местоположения. Это распространяется и на вход: пользователи могут входить как в локальные, так и в облачные приложения, используя одни и те же пароли, что позволяет сократить количество обращений в службу поддержки. Azure AD проверяет их пароли.
Корпорация Майкрософт улучшила управление связью с внешними организациями Azure AD. В июле компания заявила, что ее настройки доступа между арендаторами теперь предоставляют ИТ-специалистам детализированные настройки управления входящим и исходящим доступом, которые работают для каждой организации, пользователя, группы и приложения. Параметры также позволяют ИТ-специалистам доверять утверждениям безопасности, таким как многофакторная проверка подлинности от внешних организаций Azure AD.
5. Патчи и обновления:
Поскольку AVD основан на образах, процесс установки исправлений и обновления приложений гораздо более последовательный, надежный и строгий. ИТ-администраторы могут применять исправления к образам более регулярно по своему расписанию. Затем они могут протестировать этот образ как с точки зрения безопасности, так и с точки зрения функциональности, не нарушая продуктивность рабочего процесса конечных пользователей. Когда ИТ-специалисты будут готовы, они смогут развернуть образ на хостах активных сеансов с минимальным вмешательством в работу сотрудников.
AVD Security в сотрудничестве со сторонними организациями
Эти методы, более строгий контроль доступа и приложений, строгое управление идентификацией и бдительное исправление составляют основу ежедневного снижения рисков на уровне конечных пользователей. Также целесообразно дополнительно изучить, как ИТ-специалисты и службы безопасности контролируют доступ третьих лиц к конфиденциальным данным и как организации AVD сотрудничают с внешними организациями AVD. Убедившись, что ИТ-отдел использует преимущества этих элементов управления, вы добавит еще один уровень защиты от угроз, особенно в отношении ценных активов, таких как конфиденциальные финансовые данные или интеллектуальная собственность. Поскольку использование облака продолжает расширяться, управление взаимодействием внешних удостоверений с сотрудниками должно быть таким же строгим, как и внутренний контроль доступа.
Как вы улучшаете управление рисками в эпоху виртуальной работы? Сообщите нам о Фейсбук, Твиттера также LinkedIn.
БОЛЬШЕ О ВИРТУАЛЬНОМ РАБОТЕ:
Источник изображения: Shutterstock
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/irishtimes/D5AZSVSVNNCZBICABEAQGMWWZI.jpg?resize=150%2C150&ssl=1)
