在疫情九个月后,远程工作仍然是抑制病毒传播的重要工具。 但是,我们所需的许多资源都在公司的数据中心中,因此我们需要通过公共互联网从家用PC安全访问这些资源。这意味着需要设置、运行和管理VPN(虚拟私人网络)。
VPN的设置与管理
设置和运行VPN并不困难,因为大多数服务器操作系统都标准配备VPN,甚至许多中小企业路由器也集成了此功能。然而,安全地运行VPN则是另一回事。任何人只要拥有正确的用户名和密码,就可以连接到VPN。此连接可以来自任何设备,任何地方。尽管技术如DirectAccess试图改变VPN模型,但其复杂性需要显著的网络技能和专用硬件。
保护远程工作
保护远程工作是至关重要的。 那么,有什么措施可以阻止某人入侵已连接到您网络的家庭PC并访问机密数据呢?这甚至不需要是故意的——想象一下,一台用于工作和孩子视频课程的iPad在上课期间意外连接到公司网络并向全校展示文件。
Microsoft的端点安全性与Azure Active Directory和Intune结合,提供了一套条件访问工具,以设定策略来控制公司设备和BYOD(自带设备)的网络访问。这些政策不仅涵盖PC,还支持Android和iOS,设定设备安全标准、支持的版本,并管理各种安全场景,如“不可思议的旅行者”或根据登录位置调整安全设置。
Microsoft Tunnel的介绍
Microsoft目前正在预览一种Windows VPN的替代方案——Microsoft Tunnel,旨在为iOS、iPadOS和Android企业设备提供服务。这是一种基于政策的VPN,允许您锁定符合安全政策的设备的访问权限,从而减少恶意行为者入侵的风险,以及通过配置不当的设备泄露数据的风险。
Tunnel作为一个在Linux主机上运行的容器提供。该主机可以在本地或云端运行,安装后通过Microsoft Endpoint Manager使用Intune设备配置进行管理。云托管的服务器需要在云与本地网络之间建立直接连接,除非您使用云托管的虚拟基础设施。
开始使用Microsoft Tunnel
在开始使用Tunnel之前,您需要满足一些前提条件。目前仅支持四种Linux主机操作系统,并且需要安装Docker来运行Tunnel容器。它们可以是独立服务器,或者可以作为Windows Server上的虚拟机运行。Microsoft还根据您预期管理的连接数量建议CPU和内存大小。您必须为服务器拥有一个TLS证书,该证书分配给Tunnel端点IP地址或其完全限定域名。
客户端设备需要运行Microsoft Tunnel应用程序,该应用程序可从Apple App Store和Google Play Store下载。您可以使用Intune在必要时管理安装,将Tunnel客户端推送到受管理的设备上。Microsoft Endpoint Manager仪表板提供Tunnel的监控工具,用于处理配置和显示服务器健康状况。
安全地将远程工作带到所有设备
像Microsoft Tunnel这样的工具不仅为PC提供应用程序和服务的访问权限,还允许远程工作人员使用Android和iOS设备,确保同等的安全性。通过将服务打包为Linux容器,Microsoft使得启动变得简单:只需放入一个容器,将其连接到Microsoft 365 Endpoint Security订阅即可。
Brad Anderson,Microsoft 365的副总裁指出:“我们以一种方式构建它,如果您有多个网关来处理负载,当我们进行更新时,我们会以滚动模式进行,以便始终保持设备在线。”
结论
采用零信任方法对待Microsoft Tunnel这样的VPN设备至关重要,因为它确保您在现代安全性方面的思考是正确的,重点是保护数据和应用程序,而不仅仅是硬件或客户端。
订阅网络安全内幕通讯,通过跟踪最新的网络安全新闻、解决方案和最佳实践,加强您组织的IT安全防御。每周一、二和四发送。
