Azok a rendszerek, amelyek lehetővé teszik a távoli hozzáférést és munkamenetek rögzítését, hatékony és biztonságos együttműködést biztosítanak külső szolgáltatókkal. Ezekkel a rendszerekkel könnyen és ellenőrzött módon lehet biztosítani a vállalkozóknak a belső szerver erőforrásokhoz és IT rendszerekhez való hozzáférést. Az olyan típusú platformok, amelyekhez a külső szolgáltatók leggyakrabban csatlakoznak, magukban foglalják a Windows Servereket, Linuxot, Unixot, hálózati eszközöket, http/https adminisztrációs felületeket és mindenféle OT rendszert. Az ilyen hozzáférések kezelésének velejárója a biztonság és az ellenőrizhetőség biztosítása.
- Azok a rendszerek, amelyek lehetővé teszik a távoli hozzáférést, mechanizmusokat kell biztosítaniuk a biztonsági incidensek kockázatának csökkentésére. Ezek a mechanizmusok magukban foglalják a munkamenetek rögzítését, jelszóvédelmet és tevékenységnaplózást.
- A távoli hozzáférés biztonságának növelése érdekében fontos elem a vállalkozók által végzett munka valós idejű ellenőrzésének és együttműködésnek egyetlen munkameneten belül történő lehetősége.
- A biztonságot biztosító elemek nem korlátozhatják a eszközök funkcionalitását és a műveletek sebességét.
- A megoldás sokoldalúsága és a széleskörű kommunikációs protokollok támogatása (RDP, SSH, telnet, http/https, VNC) lehetővé teszi a költségek csökkentését és a hozzáférési folyamatok lezárását.
Biztonság az üzleti szinten
Az IT rendszerekhez szakértők alkalmazása egyre nehezebbé válik a vállalatok vagy szervezetek számára. Általában a karbantartási és támogatási feladatok egy részét külső szállítók végzik. Ez könnyű és gyors módja annak, hogy biztosítsák a megfelelő karbantartást és hatékony működést az IT rendszerek számára. Sajnos, ha az ilyen hozzáférés nem megfelelően kerül bevezetésre, növeli a biztonsági incidensek kockázatát. Ilyen incidensek különböző okok miatt előfordulhatnak. Lehet szoftverhibák kérdése, vagy annak helytelen konfigurálása, amelyeket illetéktelen hozzáféréshez lehet használni, de előfordulhatnak szándékos tevékenységek harmadik felek részéről, amelyek célja a távoli hozzáférés helytelen és veszélyes módja, vagy egyszerűen a felhasználók gondatlansága miatt. Ezért létfontosságú egy távoli hozzáférési és munkamenetnaplózó rendszer kialakítása, amely figyelembe veszi az összes biztonságot érintő aspektust. Az architektúra, a jogosultságok és az azt követő ellenőrzés kérdései is.
Az architektúra olyan, amely minimalizálja a potenciális támadási felületet, például a lehető legkevesebb kommunikációs port használatával, az elszigetelt hálózatokhoz való biztonságos hozzáféréssel, a kommunikáció titkosításával a munkamenet során. A rendszernek biztosítania kell a hozzáférés biztonságát, például többkomponensű hitelesítés (2FA/MFA) alkalmazásával és hálózati korlátozások bevezetésével az adminisztratív felület számára. Fontos továbbá, hogy a rendszert a felhasználó igényeire szabott módon lehessen szállítani, például formális okok miatt néhány entitás kizárja a felhőszolgáltatásokat meghatározás szerint, és követeli, hogy az egész rendszer a megrendelő infrastruktúráján működjön.
A privilégiumos hitelesítő adatok biztonsága az IT egyik kulcsfontosságú kérdése, és nemcsak a távoli hozzáféréssel függ össze. A külső szállítóknak gyakran olyan feladatokat kell ellátniuk, amelyekhez rendszergazdai jogosultságok szükségesek. A nyilvánosan kiadott privilégiumos hitelesítő adatok jelentős kockázatnövekedést jelentenek ebben az esetben. Ilyenkor a legjobb megoldás az, ha a szerződéses partnereket elválasztják a jelszóismerettől, és csak a privilégiumok kiosztása útján biztosítják a hitelesítő adatok beinjektálásának lehetőségét a távoli erőforrásra történő bejelentkezéskor. A második fontos lépés a privilégizált fiókok teljes elhagyása. Ehelyett gyenge fiókokat kell használni, ahol a jogosultságokat szelektíven emelik fel a vállalkozók által végzett pontosan meghatározott feladatokhoz. Ezek az végpont privilégiumkezelő (EPM) típusú rendszerek.
A részletes jogosultságok lehetővé teszik a szervezeti folyamatok biztonságos működéséhez szükséges szerepek létrehozását. A specifikus jogosultságok beállításával a vállalkozók csak meghatározott erőforrásokhoz csatlakozhatnak, és csak a biztonsági osztály által jóváhagyott eszközöket használhatják a munkamenet során, például nem engedélyezett a fájlok másolása vagy a vágólap szinkronizálása. Általában korlátozott jogosultságokkal és meghatározott tevékenységekkel rendelkező felhasználói csoportokat hoznak létre. Tipikus szerepek közé tartoznak a szolgáltatói vállalkozó, belső rendszergazda, biztonsági könyvvizsgáló.
Szekciók ellenőrzése és regisztrálása
A külső szolgáltatók által végzett munkamenetek rögzítése az egyik legfontosabb funkciója egy távoli hozzáférési rendszernek. A részletes munkamenet naplók és felvételek lehetővé teszik a későbbi ellenőrzést és információkat arról, hogy hogyan történt a munkavégzés. Ezek a funkciók kritikusan fontosak, amikor a korábbi helytelen konfiguráció következtében bekövetkezett rendszerhibák okainak keresése történik. A munkavégzés nyomon követésének értéke mellett ezek a felvételek használhatók egy tudásbázis kialakításához is. Érdekesség, hogy sok ilyen rendszer felhasználója észlel bizonyos javulást a végzett munka minőségében, ami annak köszönhető, hogy a szolgáltatástechnikusok és rendszergazdák tudják, hogy a munkamenetek rögzítésre kerülnek, így a konfigurációs lépések jobban átgondoltak és kevésbé kockázatosak.
- A távoli munkamenetek rögzítését központilag kell kezelni, azaz a munkamenetek rögzítésének kötelezővé tétele a vállalkozótól független módon kell történjen, és maguk a felvételek központilag tárolódnak a kliens környezetében.
- A munkamenet naplók rögzítése különösen fontos, ha betekintést szeretnénk nyerni bizonyos statisztikai adatokba, amelyek az externál szolgáltató munkájával kapcsolatos elszámoltathatósághoz kapcsolódnak, például a munkamenetek száma és időtartama adott időszakban, vagy információt keresünk arról, hogy a vállalkozó milyen fájlokat másolt a gépekre, amelyekhez kapcsolódott.
- Az valós idejű együttműködés és chat kommunikáció a vállalkozóval nagyon értékes funkció, amikor valós időben kell együttműködni a vállalkozóval és együtt megoldani egy problémát. Az összes chat kommunikáció is rögzítésre kell kerülnie, és elérhetőnek kell lennie a munkamenethez kapcsolódó naplókban, hogy az alkalmazottak és külső szállítók közötti beszélgetések tartalma elemezhető legyen.
- Az értesítések és az engedélyezési folyamat bevezetésének képessége további lépést jelent a folyamatban, amikor egy külső vállalkozó egy erőforráshoz kíván létrehozni egy munkamenetet. Ilyen funkcióval a belső adminisztrátorok vagy a biztonsági osztály mindig tudatában vannak annak, hogy mikor és miért történnek munkamenetek az erőforrásaikhoz. Amikor értesítést kapnak, vagy még a vállalkozó létrehozhat egy munkamenetet, jóvá kell hagyniuk az ilyen ideiglenes hozzáférést.