企业远程办公，远程访问和自带设备（BYOD）安全性解决方案

虽然内容陈旧，但是还是具有参考价值

ITL公告2020年3月

Karen Scarfone^{^[1]}，Jeffrey Greene和Murugiah Souppaya

美国商务部国家标准技术研究院计算机安全司信息技术实验室

介绍

许多人进行远程办公（也称为远程操作），这是组织的员工，承包商，业务合作伙伴，供应商和其他用户可以从组织机构以外的位置执行工作的能力。远程工作者使用各种客户端设备（例如台式机和笔记本电脑，智能手机和平板电脑）来阅读和发送电子邮件，访问网站，查看和编辑文档以及执行许多其他任务。这些客户端设备可以由组织，第三方（组织的承包商，业务伙伴或供应商）或用户本身（例如BYOD）控制。大多数远程工作人员都使用远程访问，这是组织用户可以从组织机构以外的外部位置访问其非公共计算资源的能力。

美国国家标准技术研究院（NIST）制定了有关远程办公和远程访问的指南，以帮助组织减轻与远程办公所用企业技术（例如远程访问服务器，远程办公客户端设备和远程访问通信）相关的安全风险。 NIST特殊出版物（SP）800-46修订版2，《企业远程办公，远程访问和自带设备（BYOD）安全性指南》于2016年发布，其建议至今仍然适用。本信息技术实验室（ITL）公告总结了SP 800-46修订版2中的关键概念和建议。它们包括部署以下部分或全部安全措施：

•制定和执行远程办公安全策略，例如具有分层的远程访问权限

•需要访问企业的多因素身份验证

•使用经过验证的加密技术来保护存储在客户端设备上的通信和数据

•确保远程访问服务器得到有效保护并保持完整补丁

•保护所有类型的远程办公客户端设备（包括台式机和笔记本电脑，智能手机和平板电脑）免受常见威胁的侵害

远程访问方法

企业可以使用多种选择来提供对其计算资源的远程访问。远程工作人员最常用的远程访问方法根据其高级体系结构分为四类：隧道，门户，直接应用程序访问和远程桌面访问。

隧道：涉及在远程办公客户端设备和远程访问服务器（通常是虚拟专用网络（VPN）网关）之间建立安全的通信隧道。隧道使用加密技术来保护通信的机密性和完整性。客户端设备上的应用程序软件（例如电子邮件客户端和Web浏览器）可以通过隧道与组织内的服务器安全地通信。隧道还可以验证用户身份并限制访问，例如限制远程办公客户端设备可以连接到的系统。远程办公中最常用的VPN类型是Internet协议安全性（IPsec）和安全套接字层（SSL）隧道。

门户网站：一种服务器，可通过单个集中式界面访问一个或多个应用程序。远程工作者使用远程客户端设备上的门户客户端来访问门户。大多数门户网站都是基于Web的，对于它们而言，门户网站客户端是常规的Web浏览器。应用程序客户端软件安装在门户网站服务器上，并且与组织内服务器上的应用程序服务器软件进行通信。门户网站可保护客户端设备与门户网站之间的通信，门户网站还可对用户进行身份验证并限制对组织内部资源的访问。当今，大多数门户体系结构都是SSL VPN，实际上，大多数SSL VPN是门户，而不是隧道。

通过直接应用程序访问，无需使用远程访问软件即可完成远程访问。远程工作者可以直接访问单个应用程序，而该应用程序则提供自己的安全性（通信加密，用户身份验证等）。直接访问应用程序的最常见示例之一是webmail。远程工作人员运行Web浏览器，并使用超文本传输协议安全（HTTPS）连接到提供电子邮件访问权限的Web服务器，然后服务器对远程工作人员进行身份验证。对于使用无处不在的应用程序客户端（例如Web浏览器）的网络邮件之类的情况，直接应用程序访问提供了高度灵活的远程访问解决方案，几乎可以在任何客户端设备上使用它。

远程桌面访问解决方案使远程工作人员能够从远程工作客户端设备远程控制组织中的特定台式计算机，通常是组织办公室中用户自己的计算机。远程工作者可以通过远程计算机进行输入控制（例如，键盘，鼠标），并且可以在本地远程客户端设备的屏幕上看到该计算机的屏幕。通常，远程桌面访问解决方案（例如使用Microsoft远程桌面协议（RDP）或虚拟网络计算（VNC）的解决方案）仅应在仔细分析安全风险后用于特殊情况。本公告中描述的其他类型的远程访问解决方案提供了出色的安全功能。

安全问题

远程办公和远程访问技术通常需要额外的保护，因为与仅从组织内部访问的技术相比，它们的性质通常使它们更容易受到外部威胁的影响。远程办公和远程访问技术的主要安全问题包括：

缺乏物理安全控制是一个问题，因为远程办公客户端设备已在组织控制范围之外的多个位置使用，例如员工的家，咖啡店和其他公司。这些设备的移动特性使它们很可能会丢失或被盗，从而使设备上的数据面临更大的泄露风险。

不安全的网络用于远程访问。因为几乎所有的远程访问都是通过Internet进行的，所以组织通常无法控制远程办公客户端使用的外部网络的安全性。用于远程访问的通信系统包括宽带网络（例如电缆）和无线机制（例如电气和电子工程师协会（IEEE）802.11）以及蜂窝网络。这些通信系统容易受到监听和中间人攻击，以拦截和修改通信。

提供仅对内部资源（例如敏感服务器）的外部访问将使它们面临新的威胁，并大大增加了它们受到威胁的可能性。可以用来访问内部资源的每种形式的远程访问都会增加该资源被破坏的风险。

NIST关于提高远程办公和远程访问解决方案安全性的建议应对远程办公和远程访问解决方案的所有组件（包括客户端设备，远程访问服务器以及通过远程访问访问的内部资源）进行保护，以防受到预期的威胁。 NIST建议组织采用以下保护措施来提高其远程办公和远程访问技术的安全性：

基于外部环境包含敌对威胁的假设，规划与远程办公相关的安全策略和控制。

组织应假定外部设施，网络和设备包含敌对威胁，这些威胁将试图获得对组织数据和资源的访问权限。组织应假定恶意方将控制远程办公客户端设备，并尝试从中恢复敏感数据或利用这些设备来访问企业网络。缓解此类威胁的选项包括加密设备的存储空间，加密存储在客户端设备上的所有敏感数据以及不在客户端设备上存储敏感数据。为了缓解设备重用威胁，主要选择是对企业访问使用强身份验证（最好是多重身份验证）。

组织还应假定组织无法控制的外部网络上的通信容易受到窃听，拦截和修改。通过使用加密技术来保护通信的机密性和完整性，以及相互验证每个端点以验证其身份，可以缓解（尽管不能消除）这些类型的威胁。

另一个重要的假设是，远程办公客户端设备将被恶意软件感染；为此，可能的控制措施包括使用反恶意软件技术，在授予访问权限之前验证客户端安全状况的网络访问控制解决方案，以及组织机构内部用于内部使用的远程办公客户端设备的独立网络。

制定定义远程办公，远程访问和BYOD要求的远程办公安全策略。

远程工作安全策略应定义组织允许的远程访问形式，允许哪种类型的远程工作设备使用每种形式的远程访问，以及授予每种类型的远程工作人员的访问类型。它还应涵盖如何管理组织的远程访问服务器以及如何更新这些服务器中的策略。

作为创建远程办公安全策略的一部分，组织应根据自己的风险做出决策，以决定应允许哪种类型的远程办公客户端设备进行远程访问级别。例如，组织可以选择具有分层级别的远程访问，例如，允许组织拥有的计算机访问许多资源，BYOD计算机访问有限的一组资源，BYOD移动设备仅访问一个或两个较低风险的资源，例如网络邮件。具有分层级别的远程访问允许组织通过许可更多的访问受控制最多的设备，而降低受控制最少的设备来限制其带来的风险。

确保远程访问服务器得到有效保护，并配置为实施远程办公安全策略。

远程访问服务器的安全性特别重要，因为它们为外部主机提供了一种访问内部资源的方法，并且为组织分发的，第三方控制的BYOD客户端设备提供了安全，隔离的远程办公环境。除了允许未经授权访问企业资源和远程办公客户端设备外，受损的服务器还可用于窃听通信，操纵通信并提供“跳板”节点来攻击组织内的其他主机。对于组织而言，特别重要的是要确保对远程访问服务器进行完整的修补，并且只能由授权管理员从受信任的主机对其进行管理。

组织还应仔细考虑远程访问服务器的网络位置；在大多数情况下，应该将服务器放置在组织的网络外围，以便它充当网络的单个入口点，并在允许任何远程访问流量进入组织的内部网络之前执行远程办公安全策略。

保护组织控制的远程办公客户端设备免受常见威胁的侵害，并定期维护其安全性。

远程办公客户端设备面临许多威胁，包括恶意软件，设备丢失或失窃以及社会工程。通常，远程办公客户端设备应包括在组织的非远程办公客户端设备的安全配置基准中使用的所有本地安全控制，例如及时应用操作系统和应用程序更新，禁用不需要的服务以及使用反恶意软件和个人防火墙。但是，由于远程办公设备通常在外部环境中比在企业环境中面临更大的风险，因此建议使用其他安全控制措施，例如对存储在设备上的敏感数据进行加密。

组织应确保所有类型的远程办公客户端设备的安全，包括台式机和膝上型计算机，智能手机和平板电脑。安全功能和适当的安全措施因设备类型和特定产品而异，因此组织应向负责保护远程办公设备的设备管理员和用户提供有关如何保护设备的指南。

结论

使组织的资源可远程访问可实现远程办公，但也会增加安全风险。组织应仔细考虑提供对附加资源的远程访问所带来的好处与这些资源的损害所带来的潜在影响之间的平衡。为了降低风险，组织应该确保他们选择通过远程访问提供给远程办公目的的任何内部资源都可以抵抗外部威胁，并且对资源的访问必须限制在最低限度。

其他资源：

•NIST特殊出版物（SP）800-46修订版2，《企业远程办公，远程访问和自带设备（BYOD）安全性指南》

•NIST SP 800-114修订版1，远程办公和自带设备（BYOD）安全性用户指南

•NIST SP 800-77修订版1（草案），IPsec VPN指南

•NIST SP 800-52修订版2，选择，配置和使用传输层安全性（TLS）实施准则

•NIST SP 800-111，最终用户设备的存储加密技术指南

•NIST SP 800-124修订版1，企业中管理移动设备安全性的准则

•NIST SP 800-40修订版3，企业补丁管理技术指南

•NIST SP 1800-4，移动设备安全性：云和混合版本