新型冠状病毒疫情的爆发,使得疫情防控成为当前最重要的工作。减少人员聚集,减少外出,无疑是防止病毒传播、扩散的有力手段。为此,很多单位都把部分业务甚至日常运营转到“线上”。借助远程办公,员工的健康得到了保障,但也给网络安全带来了新的挑战。
面对疫情,各大企业纷纷响应政府”减少外出,减少聚集”的号召,更多利用 VPN(虚拟专用网)远程在线办公,保障业务正常运行。那么问题来了,如何合理配置VPN,才能更全面、更有效的保护远程访问的安全性呢?
第一招:防聚集,安全域划分要做好!
防聚集的目的,是把病毒控制在有限的区域之内,通过减少人员聚集,以居家为单位进行隔离,从而减少病毒的横向传播。出于同样的目的,在使用VPN时,也要在虚拟的网络空间中再隔离,把“网上病毒传播”的风险降到最低。所以,配置VPN的第一步,正是做好安全域划分和控制,实施好网络安全防护。
解决办法:可以利用VPN设备的多个接口,将网络在逻辑上划分为多个安全区域,然后根据各个安全区域内运行的业务和处理的数据类型,配置相关的防护策略,控制并限制不同安全区域间传输的数据,保证网络的整体安全。
图注:在家办公第一步
第二招:带口罩,访问控制要做好!
飞沫传播是新型冠状病毒口罩的主要传播途径,佩戴口罩恰恰能控制飞沫传播,是防范疫情的有效手段。配置VPN的第二步,也是要通过控制策略为网络带上“口罩”。
配置VPN的控制策略有三步:第一步做好远程接入控制,包括对人员身份的鉴别与授权、对设备的识别、对接入位置的识别,确保只有合法的人员、合法的设备、合理的位置才能对关键的业务建立起远程访问;第二步做好访问控制,通过预定义的访问控制列表,对远程的访问类型进行分析,杜绝非法访问;第三步做好行为识别,在访问控制的基础上,使用异常检测与行为分析技术,防止伪装的攻击。按照这三步配置VPN,你的网络就能远离非法访问、和伪装攻击的威胁。
图注:出门口罩第二步
第三招:勤洗手,网络防控引擎要用好
勤洗手是防范接触性传染的有效手段。通过洗手,附着在手上的病毒被清除,无法通过进入人体内部,威胁你的身体健康。
配置VPN的第三步,就是要给数据“洗手”,做好深度检测,防止一些恶意脚本或程序,夹带在网络中正常传输的报文被传输到内部。
以山石网科下一代防火墙为例,配置VPN的深度检测有三套方案:方案一是本地检测,VPN内置的抗攻击模块、入侵防御模块、防病毒模块,通过特征匹配、行为分析,让数据夹带的恶意软件无所遁形;方案二是云端检测,结合云沙箱、云检测技术,把可以报文在云端做深层次的分析,即使恶意软件做了多道伪装,也能够有效彻查出来;方案三是基于威胁情报,基于山石的威胁情报库,对一些可疑的访问来源,实时进行封堵,提高检测和防范的效率。
总而言之,在通过VPN远程办公时,应该密切关注VPN连接上来的流量,条件允许的情况下利用手边的IDS、IPS等安全产品手段进行监控。如果条件不允许,也要做到“防聚集”和“戴口罩”,利用安全域划分和访问控制,把VPN带来的网络安全风险尽可能的降低。
图注:出门回家勤洗手第三步
科学应对,做好防控,是战胜疫情的关键。科学配置VPN,充分利用VPN提供的安全功能,为“线上”的业务访问、公司运营、系统维护提供安全保障,是在疫情之下保障公司业务安全开展的关键。
来源:freebuf.com 2020-04-28 15:46:45 by: Hillstone
请登录后发表评论
注册