Vi undersöker några säkra VDI-lösningar som Parsec/Teradici/Citrix som ett sätt att tillåta någon form av säker åtkomst till nätverket från personalens privata utrustning, tills vi kan få dem att använda företagsutrustning hemma.
Frågan dök upp, “Varför kan vi inte bara använda fjärrskrift?”.
Intresserad av att höra folks åsikter om huruvida fjärrskrift kan göras tillräckligt säkert, eller om någon har länkar till säkerhetsbloggar om varför man inte bör göra detta.
Tack
Remote Desktop Gateway skulle vara “tillräckligt säkert”, särskilt om du kombinerar det med MFA.
Definiera ‘säker’ i ditt sammanhang
Remote Desktop Gateway anses generellt vara ganska bra. Du exponeras endast för port 443 mot internet.
Säkra det med MFA, och du är ganska bra.
Nej - personliga maskiner bör aldrig tillåtas vara direkt på ditt nätverk, inklusive VPN. Anse dem som infekterade likt resten av det offentliga internet och behandla dem därefter. Och, RDP bör aldrig exponeras direkt för internet eller andra osäkra PC:er.
Detta är genomförbart om du har någon form av restriktiv MDM för att hantera personalens privata maskiner. Och må du ruttna i helvete för att du föreslagit det till ledningen.
Vad du kan göra är att inte använda direkt RDP. Apache Guacamole kan göra RDP i webbläsare, vilket helt separerar den infekterade klienten från ditt säkra nätverk. Många andra liknande lösningar finns också. Citrix kan vara i mitten, där du fortfarande använder RDP men isolationen är kvar.
Observera att oavsett vilken lösning du väljer, kommersiell eller F/OSS, finns stora problem med Windows-licensering. Även om din fjärråtkomstlösning är gratis, är värdarna du ansluter till inte, och licenseringsfrågan är komplex.
Ta en titt på RDS eller Remote Desktop Services. du kan publicera skrivbord eller appar till användare som använder RDP, och det är helt kapslat över HTTPS. Detta är den säkraste metoden.
Jag har använt det för att bara presentera RDP och sedan kan användare rdp:a till sina skrivbord.
RDweb/RDgateway, betyder ingen VPN. Vilket innebär att användarens hemmaskin inte är direkt kopplad till ditt LAN. Vilket är en stor minskning av attackytan.
Du tunnlar bara in på 443 till din RDS-infrastruktur.
Blockera all utskrift, enhets-, drivrutins- och klippkortsomdirigering för RDP-anslutningen.
Lägg till 2FA eller MFA.
Då kommer du att vara ganska säker. Mer säkert än en fjärransluten företagsmaskin via VPN.