诸子笔会2022 | 肖文棣:浅谈远程办公安全与应对
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
浅谈远程办公安全与应对
文 | 肖文棣
肖文棣
晨星资讯安全架构师
负责应用安全设计、管理和评审等工作,OWASP中国广东分会负责人,华中科技大学软件工程专业工程硕士学位。
远程办公在新冠疫情的影响下越来越火,我国的技术安全标准化委员会还为此在2020年推出了《网络安全实践指南-远程办公安全防护》来帮助企业分析在线会议、即时通信、文档协作等典型远程办公场景中存在的主要安全风险,从安全管理、安全运维的方面,给出了具体的安全控制措施建议,为远程办公防护提供了参考。
这份标准非常有实用价值,但美中不足的是,没有涵盖对通过虚拟专用网(VPN)技术或者自建应用服务器实现的远程办公场景。其中,笔者认为VPN场景非常重要,应该进行讨论。
笔者所在的城市是沿海的深圳,夏季经常台风肆虐。国家为了人民的生命和财产安全,早在2013年颁布的《深圳市台风暴雨灾害公众防御指引(试行)》中就明确,当受台风、暴雨影响且市气象台发布了台风黄色、橙色和红色预警信号或者暴雨红色预警信号时,建议用人单位安排员工停工或推迟上班。作为一家非常遵守政府规范的企业,笔者所在公司早在2013年就开始启动了远程办公的模式,支持台风暴雨预警时员工的在家办公需求。
首先,笔者公司对员工进行了培训,保证每个员工理解公司的远程办公政策,包括了解公司提供的各种设备的使用方法,以及遇到问题应该找哪些部门寻求帮助,并公布了对应人的联系方式。
其次,公司对流程进行了细化和演练,在实施远程办公的时候,组织员工进行演练,并且测试员工家中的设备以及公司的设备。
最后,公司在技术上采用了VPN+远程终端的模式。员工只需要在自己的设备上安装思科的VPN,使用自己的AD域账号进行登录,经过简单的安全扫描和认证后,员工的设备就可以获取公司的内网地址;同时,员工设备无法再使用家里的互联网,而只能通过远程终端连接公司的办公机器,通过办公机器进行日常操作。
在这种模式下,员工虽然身在异地,但实际上所有的操作都在远程终端完成,所有操作都在公司的办公机器完成。只不过当时远程办公软件还不是很成熟,相互之间需要通过电话交流,之后逐渐使用社交工具组建聊天群组。这个阶段笔者称之为1.0时代,基本满足了台风天的远程办公需求。远程办公的安全依靠的是思科的VPN和微软的AD域账号认证,而不仅仅只是单纯的用户名加简单密码的方式,从而避免了弱密码的威胁。
由于笔者所在企业是全球性企业,所以一直存在远程通信和交流的情况。最初,公司使用的远程电话会议,后来逐步演进到远程视频会议。因为公司非常重视员工的工作生活两平衡,所以为了方便员工的工作,会考虑大家的实际情况采用合适的技术,比如不同的时区,不同的办公地点。
公司当时想打造全球一体不停顿的工作链,所以远程协作必不可少,但由于远程电话会议和远程视频会议的便利性不足,因此笔者公司升级了技术,引入了微软的Teams和Zoom这种远程通信的终端设备。大家通过Teams和Zoom进行交流和在线视频会议,笔者也将这个阶段称为远程办公2.0时代。由于此时的远程办公还依赖于微软的Teams和Zoom,如果Zoom本身有安全漏洞,那么公司就会受到同样的影响。但就好像零日漏洞不可避免,这样的风险有时候只能接受。
步入2019年底,新冠疫情爆发,随着国家的封控政策升级和调整,远程办公成了常态,虽然远程办公2.0使得公司很快就适应了这种突发状况,但是为了保证其他情况,如机房断电、远程办公机器意外死机重启等,公司安排了工作人员进行值班,即使是在疫情最严重的时候,也要保证至少有一个员工在公司进行值守。
随着疫情在全球范围内的蔓延,全球的办公室都纷纷进入居家隔离和办公的状态,远程办公2.0已经无法满足公司的需求,需要进行远程办公3.0时代的更新。
首先,公司提倡使用笔记本电脑替换台式机。实际在疫情发生之前,公司就已经开始推行相关的策略,不少员工已经完成了笔记本的替换,只不过同时还保留了台式机用于远程桌面终端登录。
然后,公司宣布只允许通过配发的笔记本才能接入内网。公司配发的笔记本安装了一系列终端保护程序,从而确保该笔记本是安全的,并且禁止个人设备接入。
最后,公司宣布使用OKTA的零信任解决方案,笔记本需要先通过VPN连接公司内网,过程中需要使用OKTA进行多因素认证,连接成功会进行安全扫描,扫描完成后会将本地的互联网屏蔽,只允许使用VPN进行上网。此时的笔记本已经获得内部IP地址,可以直接进行各种操作,不需要访问远程桌面终端,极大地提高了效率;同时终端安全依靠终端保护设备进行保护。
至此,笔者公司成功打通了远程办公最后的一公里,成为真正的远程办公全球企业。这就是远程办公3.0时代,而这个阶段的远程办公更加依赖于Cybereason的终端保护能力。
回顾笔者公司的远程办公发展进程,可以看到,远程办公并不是疫情突发的要求,而是公司的内生需求;并且正是因为有了远程办公2.0的准备,在疫情面前,公司才能平滑地应对冲击。当然,远程办公不可能一步到位,需要经历从1.0到3.0的演进,而且公司高层的支持非常重要,是远程办公能否真正得到落地的关键。
笔者的公司不是技术大厂,所以非常依赖于优秀的乙方公司提供的优秀产品支持。
首先是思科的VPN,其次集成OKTA的零信任认证方式,然后在笔记本上安装Cybereason的终端防护软件,每个步骤都尽量使用该领域最优秀的产品,而不是使用一个平庸的通用解决方案。相比之下,国内的企业总是提供所谓的零信任解决方案,并没有开放通用接口让其他厂商进行集成,这个问题值得进一步思考和讨论。
在线会议使用的是微软Teams或Zoom,两者都是在线会议领域上优秀的产品,本身的安全性就具有一定的保障。文档协作方面更多更多使用微软Office365,因为这些产品都可以与OKTA的零信任认证相结合,足够安全。
总的来说,笔者公司的远程办公是未雨绸缪的,并不是应对突发情况的临时举措。同时,公司信奉的原则是寻找最好的供应商,信任供应商的能力,因为如果这些优秀的供应商都不能做好安全,那我们也很难做出比这些供应商更好的产品。
所以,笔者希望甲方可以站在巨人的肩膀上,让专业的人做专业的事情,这样生态才能更好。同时,希望乙方能够做出越来越好的优秀产品,让甲方在依赖于这些产品的同时,做好自身的远程办公安全。
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义 张增斌
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣
2021首届诸子笔会
齐心抗疫 与你同在