在疫情九個月後,遠距工作仍是抑制病毒傳播的重要工具。但是,我們所需的許多資源都在公司的資料中心中,因此我們需要透過公共互聯網從家用PC安全存取這些資源。這意味著需要設定、運行和管理VPN(虛擬私人網路)。
VPN的設定與管理
設定和運行VPN並不困難,因為大多數伺服器作業系統都標準配備VPN,甚至許多中小企業路由器也整合了此功能。然而,安全地運行VPN則是另一回事。任何人只要擁有正確的使用者名稱和密碼,就可以連接到VPN。此連接可以來自任何設備,任何地方。儘管技術如DirectAccess試圖改變VPN模型,但其複雜性需要顯著的網路技能和專用硬體。
保護遠距工作
保護遠距工作是至關重要的。那麼,有什麼措施可以阻止某人入侵已連接到您網路的家庭PC並存取機密資料?這甚至不需要是故意的——想像一下,一台用於工作和孩子視頻課程的iPad在上課期間意外連接到公司網絡並向全校展示文件。
Microsoft的端點安全性與Azure Active Directory和Intune結合,提供了一套條件存取工具,以設定策略來控制公司裝置和BYOD(自帶裝置)的網路存取。這些政策不僅涵蓋PC,還支援Android和iOS,設定裝置安全標準、支援的版本,並管理各種安全場景,例如「不可思議的旅客」或根據登入位置調整安全設定。
Microsoft Tunnel的介紹
Microsoft目前正在預覽一種Windows VPN的替代方案—— Microsoft Tunnel ,旨在為iOS、iPadOS和Android企業設備提供服務。這是一個基於政策的VPN,可讓您鎖定符合安全政策的裝置的存取權限,從而減少惡意行為者入侵的風險,以及透過配置不當的裝置洩露資料的風險。
Tunnel作為一個在Linux主機上運行的容器提供。該主機可以在本機或雲端運行,安裝後透過Microsoft Endpoint Manager使用Intune設備配置進行管理。雲端託管的伺服器需要在雲端與本地網路之間建立直接連接,除非您使用雲端託管的虛擬基礎架構。
開始使用Microsoft Tunnel
在開始使用Tunnel之前,您需要滿足一些前提條件。目前僅支援四種Linux主機作業系統,並且需要安裝Docker來執行Tunnel容器。它們可以是獨立伺服器,或者可以作為Windows Server上的虛擬機器運作。 Microsoft還根據您預期管理的連線數量建議CPU和記憶體大小。您必須為伺服器擁有一個TLS證書,該證書指派給Tunnel端點IP位址或其完全限定網域名稱。
客戶端裝置需要運行Microsoft Tunnel應用程序,該應用程式可從Apple App Store和Google Play Store下載。您可以使用Intune在必要時管理安裝,將Tunnel客戶端推送到受管理的裝置上。 Microsoft Endpoint Manager儀表板提供Tunnel的監控工具,用於處理設定和顯示伺服器健康狀況。
安全地將遠端工作帶到所有設備
像Microsoft Tunnel這樣的工具不僅為PC提供應用程式和服務的存取權限,還允許遠端工作人員使用Android和iOS設備,確保同等的安全性。透過將服務打包為Linux容器,Microsoft使得啟動變得簡單:只需放入一個容器,將其連接到Microsoft 365 Endpoint Security訂閱即可。
Brad Anderson,Microsoft 365的副總裁指出:“我們以一種方式構建它,如果您有多個網關來處理負載,當我們進行更新時,我們會以滾動模式進行,以便始終保持設備在線。”
結論
採用零信任方法對待Microsoft Tunnel這樣的VPN設備至關重要,因為它確保您在現代安全性方面的思考是正確的,重點是保護資料和應用程序,而不僅僅是硬體或客戶端。
訂閱網路安全內幕通訊,透過追蹤最新的網路安全新聞、解決方案和最佳實踐,加強您組織的IT安全防禦。每週一、二和四發送。
