纯远程办公模式的铺开已近在咫尺,为了支持这一模式,很多企业的 IT 部门都依靠 Windows 远程桌面协议(RDP)来实现对远程或虚拟系统和服务器的访问。然而,尽管对远程资源访问有效,RDP 一旦联网就极易受到攻击。这也是为什么需要在企业 VPN 和 RDP 端口上添加多因素认证(MFA),阻止未授权的 RDP 访问。
1. RDP 端口开放引发的安全问题
和用于托管网站等目的网络连接端口不同,RDP 端口提供对整个系统的访问。一方面,RDP 简化了企业终端用户对本地系统资源的访问,另一方面RDP 端口联网开放后,任何人都可以尝试进行身份验证以获取访问权限。这就给了黑客可乘之机。事实上,近期的网络安全漏洞中,有不少都是由于 RDP 端口缺乏保护而造成的。
美国最近的一项研究发现,自2020年初以来,RDP 的联网率明显增加,仅2月份就增长了近30%。这一上涨说明了两方面的事实。其一是疫情使纯远程办公模式成为一种必需,因此 RDP 的整体使用量增加了。其二是随着使用量的增加,很多企业依然不顾风险,将 RDP 端口联网开放。
而在 IT 界有一种共识,同时也是最佳实践,那就是所有 RDP 端口都应由虚拟专用网络(VPN)保护,控制对 RDP 端点的身份认证和访问权限。要想进一步增强安全性,企业还可以使用多因素身份认证(MFA)工具。
2. 为什么选择 VPN 和 MFA?
VPN 可以看成是远程系统和网络资源之间的加密隧道,也可用于在公网上创建私有网络连接。用于访问远程资源时,VPN 的加密会阻止大多数外部用户跟踪或更改互联网流量,提供更安全的体验。
通过在 RDP 端口上实施 VPN,IT 管理员可以确保绑定到每个端口的资源无法被公开访问。任何用户如果想要访问 RDP 控制的资源都需要先使用正确的身份凭证通过认证。
只是,VPN 也并不是百分百安全,可能遭到由机器人执行的暴力破解或凭证填充攻击。此外,如果 VPN 有共享凭证,一旦有终端用户因网络钓鱼等攻击泄露身份凭证,很有可能会威胁到所有用户的 VPN 账号安全。
为此,企业可以在 VPN 端点上实施 RADIUS 认证,要求出示唯一凭证后才可访问。RADIUS 认证比使用共享凭证要安全得多,但如果用户凭证还是不幸被泄露,那么就需要额外的保护措施。
这就是多因素身份认证的用武之地。在 VPN 和 RDP 系统登录时要求用户出示二次认证因素会让登录过程的安全性进一步提升。目前,有几类验证因素已经可以完全防止机器人暴力破解,并且对于其他针对性攻击也同样有效。
通过将 VPN 和多因素身份认证集成,IT 管理员可以在尽可能确保安全性的前提下,支持终端用户随时随地访问所需资源。可问题又来了,企业应该如何为 VPN 实施多因素身份认证呢?
3. 使用云目录服务保护 RDP 访问
目前已经有基于云的解决方案可以保护 RDP 的访问。借助身份目录即服务(Directory-as-a-Service,DaaS)中的 RADIUS 认证模块,企业可以为 VPN 启用云多因素认证(MFA),让终端用户利用唯一凭证安全连接到 VPN。
除此之外,DaaS 支持单点登录(SSO),范围覆盖至终端、网络、应用等资源,用户凭借一个身份一次登录即可访问所有授权设备和 IT 资源。基于云的身份目录服务可帮助管理员随时随地管控对端点和其他资源的访问,所有更新也会远程推送给终端用户。
RDP添加MFA效果演示
DaaS 的云多因素身份认证适用于设备、应用程序和基础架构等多种 IT 资源。例如,管理员可以锁定用户对连接到 RDP 端口的VPN、 Windows、Mac 和 Linux 虚拟机的访问。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解多因素认证更多内容,可前往宁盾官网博客解锁更多干货)