条件访问助力远程办公合规安全

条件访问助力远程办公合规安全

远程办公已经是未来IT战略不可或缺的一部分，前员工的现场工作时代似乎越来越远。传染病的出现使IT行业能够快速学习如何支持和管理全球人员和客户群，远程办公也可以作为长期IT战略实施。

为此，企业今后要了解远程办公及混合办公模式，并制定相关安全政策。

企业总部制定IT安全政策是与远程员工的信息安全截然不同的想法。从安全性的角度来看，在为总部设计战略时，需要考虑更多的变量。例如，以前的 IT 可以轻松地将传入的 IP 地址监控为登录凭据的起点，但现在，如果用户不通过虚拟专用网络连接，则很难再执行此操作。因此，很多企业决定先为远程职员制定安保政策。问题是如何在不影响生产力的情况下为远程员工建立安全基础。

为此，IT部门可以部署零信任策略，该策略假设用户、设备、网络和其他资源均不可靠，必须通过身份认证。

在零信任部署的初始阶段，企业可以采用条件访问策略，该策略规定用户只有通过特定验证条件后才能访问 IT 资源，这些资源与用户已经通过凭证授权访问的内容无关，相当于在现有 IT 环境基础上增加了一层防护。条件访问策略包含以下三个关键因素：

验证用户身份验证可信设备验证用户是否连接到许可网络

下面将分别介绍条件访问的三大要素。

1. 验证用户身份

验证用户身份是确保远程访问安全的首要步骤，除了强密码之外还可以使用条件访问管理所有形式的凭证控制工具，包括多因素认证（MFA）。

在凭证泄露的情况下，MFA 是抵御网络钓鱼攻击的有力武器，可以防止黑客从任意位置利用凭据。然而，有些企业认为如果可以验证用户的网络位置可能就不需要强制实施额外的安全层，这时也可以使用条件访问强制远程员工输入 MFA 凭证，现场办公的员工可以直接跳过。

企业还可以对需要访问企业资源的特定组要求实施多因素认证 MFA。例如，客户服务团队只需要用邮件和客户沟通，所以可以跳过 MFA 提示直接访问设备，而其他部门员工都必须在设备上使用 MFA 保护业务中的关键软件或系统。

2. 验证可信设备

要确保员工只能从公司安全设备访问资源可以使用设备信任组件。当用户从可信设备访问资源时，IT 部门可以设置策略，减少 MFA 的提示次数；使用自带设备（BYOD）等不可信设备时则会触发条件访问策略。

条件访问还可以防止员工从不可信设备访问公司资源，IT 部门可以设置策略规定哪些设备可以访问哪些公司资源。对于不可信设备，员工只能检查邮件，没有其他访问权限。

由于现在几乎所有设备都可以访问邮件和网页，企业 IT 部门可以利用好条件访问根据公司相关政策对设备和访问权限进行适当管控。

3. 验证网络

条件访问策略的最后一个要素是网络信任策略。鉴于远程办公在未来很有可能会常态化，确保员工的网络安全也是必不可少的一步。

1）通过白名单 IP 识别网络信任

建立网络信任最安全的方法是使用已知的 IP 地址列表允许员工通过家庭网络或使用 VPN 访问企业资源。通过网络信任策略，企业可以防止员工在公共网络等不可靠网络上访问敏感资源，而连接家庭网络或 VPN 的员工可以获取完整的访问权限。

但在具体实践中，一旦远程用户群扩张到一定程度，或者员工的办公场所产生更多变化，网络信任也会给管理带来困难。所以，上述保护网络信任的方法对于小型企业或远程员工数量固定的企业来说更有效果。当员工连接到安全的许可网络时，网络信任可作为部分条件，放宽用户的访问认证。

2）条件多因素认证

网络信任也可以用于 MFA 策略。例如在办公室网络等白名单内的 IP 地址范围减少 MFA的提示，而其他地址的访问一律需要 MFA 的凭证。

3）地理围栏

如果企业只是受业务性质所限无法管理 IP 白名单，IT 部门仍然可以验证员工所处位置保障访问安全。假设一名上海的员工试图从美国的 IP 地址获取企业资源，无论该员工持有哪些凭证，地理围栏策略都会阻止这类没有访问权限的用户访问资源。

4. 适合远程员工的条件访问策略

借助条件访问策略，IT团队可以更好地控制员工访问，而不会影响用户体验。条件访问基于零信任的原理，可以确保只有授权的人员才能通过可信设备访问授权位置的公司资源。此外，员工还可以通过MFA等途径获取资源。

条件访问在零信任环境中不仅仅是为访问创建一个安全策略，也是对安全的一个宏观指导。企业必须意识到，在远程网络环境下，必须时刻警惕信息安全，只有满足一定条件才能灵活缓解。另一方面，条件访问只要员工满足适当的安全条件，他们就可以获得完全访问权限。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。