远程访问使得无论身在何处都可以进行工作和IT支持,但在受监管的环境中,它被视为进入敏感系统的受控访问途径。这意味着合规性取决于可执行的技术控制加上您在审计期间可以快速产生的证据。
这并不意味着金融和政府组织不能使用远程访问。这意味着远程访问必须符合常见的合规性期望,包括强身份验证、最小特权访问、传输中的加密、审计日志记录,以及在用户、管理员和第三方之间保持一致的治理。
那么,这些组织如何满足远程访问合规性要求呢?让我们将需求与满足这些需求的控制措施进行映射,审计证据审核员通常会询问的证据,以及像Splashtop这样的解决方案可以如何支持这些控制措施和证据。
为什么在受监管的行业中,远程访问是一个高风险控制领域?
在高度监管的行业中,远程访问需要严格的控制。如果没有适当的安全控制,远程访问可能会增加接触敏感系统和数据的途径,如果访问没有持续管理和记录,可能会导致审计发现。
不安全的远程访问风险包括管理员、供应商或承包商滥用特权访问、获得敏感信息的新通道或扩展通道,以及因缺失或不一致的日志而无法通过审核的风险。然而,这不应该阻止组织投资于远程访问工具。
有多种情况下,金融或政府组织使用远程访问,不仅仅是在居家办公时。包括以下内容:
在旅途中通过次要设备访问内部应用、受监管的数据、支付系统、类似CJIS的环境或管理控制台。
授予第三方支持访问权限给转售商、MSPs、IT支持等。
任何需要持久、无人值守访问的场景,例如在管理远程服务器时。
无论原因或形式如何,对远程访问最重要的是提供满足IT合规要求的安全可靠的访问。
远程访问解决方案的核心合规要求是什么?
如果满足几个关键要求,受监管行业的远程访问是可能的。每一个都应包含清晰的记录,以证明合规性,从而确保系统、账户和设备的安全性可被证实。
在考虑远程访问时,请注意以下几点:
1. 应该如何实施身份和身份验证?
身份验证是远程访问中最重要的网络安全功能之一。多因素身份验证 (MFA) 应该是所有用户的默认设置,并为管理员和其他关键角色设置额外的控制措施。
单点登录 (SSO) 和安全断言标记语言 (SAML) 的支持也是推荐的,尽可能执行集中身份策略。当承包商和其他第三方被授予访问权限时,他们应该遵循相同的身份验证标准,且他们的访问权限应限制在他们需要的区域,并仅在合同期内有效。
在任何情况下,用户都不应该共享账户或登录信息;每个人都应该有一个启用身份验证的唯一账户。
证据应包括:
MFA 策略的截图
SSO 配置
授权用户的综合列表
可审查的、可访问的访问记录
2. 实施最小特权和分段所需的访问控制是什么?
用户连接远程时不应被授予不受限制的访问权限。相反,基于角色的访问控制(RBAC)和精细控制的权限是必要的,以确保用户只能访问他们被允许的区域和信息。实施这些工具可以限制对某些机器、组和环境的访问,因此即使一个账户被入侵,它也不会获得对公司网络的不受限制的访问。
当然,管理员仍然可以根据需要为用户授予限时和即时访问权限,因此基于角色的限制不会妨碍用户进行所需的工作。这确保了访问得到控制和妥善管理,以防止不良行为者侵入。
证据应包括:
角色定义罗列了哪些组有权访问哪些资源
组到设备映射以发现未识别的设备
审批轨迹使得谁何时可以访问什么变得容易识别
季度访问审查以确保权限被正确分配和管理
3. 哪些加密和会话安全要求最重要?
每个远程会话都应通过分层安全措施进行保护。至少,远程访问应该使用符合行业标准的传输保护和强会话加密对传输中的数据进行加密。决策者应该验证供应商如何加密会话、如何管理密钥和证书,以及使用了哪些协议。
此外,解决方案应支持会话完整性和生命周期控制,例如会话超时策略、断开行为和连接通知,以减少在会话期间和会话之间的风险。
证据应包括:
供应商安全文档描述加密和协议
管理配置导出或截屏显示已执行的设置
如果使用非默认设置,则需要获准的标准或安全例外文档
4. 哪些会话控制有助于减少数据暴露?
会话控制对于维护数据安全和减少暴露至关重要。这些功能包括文件传输控制、剪贴板控制和远程打印管理,以确保您始终知道文件和信息的存储位置和可用性,以及水印和用户归属,以识别谁可以访问什么。
会话超时对于维护数据安全也很有用,因为它们可以防止用户离开时账户处于闲置状态并暴露。一个好的远程访问工具还包括在用户断开连接时触发的自动锁定,确保用户离开时账户和数据保持安全。
证据应包括:
具有严格会话控制的管理员策略设置
展示安全功能和控件实际操作的截图
书面政策参考,详细说明会话控制规则
5. 通常需要哪些审计日志和监控措施?
监控和记录会话对于维护清晰的访问记录至关重要,这些记录是审计所必需的。记录至少应包括谁访问了什么、何时、何地以及他们采取了哪些操作,管理员活动应单独记录。
许多受监管的组织会将远程访问日志转发到安全信息和事件管理 (SIEM) 系统,以集中监控和调查,但具体要求取决于组织的计划和政策。
会话录制也可以支持问责制和调查,有时是内部政策或特定合同义务所要求的,但应在明确的保留和访问规则下有意启用。
证据应包括:
示例日志展示了活动是如何被记录的
SIEM 转发证明
管理员审计日志
有关保留设置的详细信息,以显示记录保存的时间长度
6. 适用于哪些设备和端点状态期望?
终端卫生,包括补丁、清单和漏洞暴露,是安全远程访问的另一个重要组成部分。组织必须确保其终端的安全,这意味着需要使用一种不仅支持跨设备连接而且在终端上保持强大安全姿态的解决方案。
组织应该能够验证他们的设备并确保其符合条件。这包括维护最新的设备列表,使用端点管理软件来管理和支持它们,并保持已知和可信赖的端点安全。虽然远程访问允许用户从任何设备工作,但这些设备必须始终保持��安全。
证据应包括:
资产清单
补丁合规报告显示所有端点都已正确修补
漏洞修复记录,以展示已知漏洞如何得到处理
7. 第三方和供应商的访问应如何管理?
供应商和第三方访问在各种类型的企业中都很常见,包括金融和政府机构等受监管的组织。然而,这种访问必须受到安全管理。
供应商访问通常在审计中被标记出来,尤其是在缺乏限制或控制的时候。第三方访问应包括具有范围权限的供应商唯一账户、时间盒访问以防止意外访问、远程会话日志和定期审核。
证据应包括:
最新的供应商名单
访问批准控制供应商可以访问的内容
会话日志显示所有分销商活动
终止记录显示不再授予访问权限的任何第三方已被完全移除。
哪些标准和框架通常驱动金融和政府中的这些要求?
金融和政府组织遵循不同的规则和保证计划,但远程访问的期望通常会集中在相同的控制主题上。两者都需要严格的安全标准和严格的控制,来规范谁可以访问什么,以及详细的记录和日志,以维持责任追踪并检测可疑行为。
常见要求包括:
访问控制、最小特权原则和有据可查的远程访问治理。
强身份验证、详细日志记录以及用户和管理员之间的一致策略实施。
当远程访问涉及支付系统或其他高度敏感环境时,加强限制和监控。
SOC 2 和 ISO/IEC 27001 等确保框架通过证据和可重复的流程强化这些控制类别。
如何将合规性要求转变为远程访问控制清单?
如�果这些合规要求看起来让人难以应对,不用担心。创建一份便捷的清单,列出安全远程访问所需的一切,这样您可以一步一步确保合规性和安全性。
按照以下简单步骤创建检查表:
定义您范围内的系统和数据,并确定谁需要访问它们。
区分标准用户、特权用户和供应商。
设置多因素身份验证和中央身份策略以对用户进行身份验证。
实施角色控制访问 (RBAC) 和设备分组,以执行最小特权原则,并根据角色限制访问。
根据公司政策配置会话功能(如文件传输、剪贴板和打印)。
建立会话生命周期控制,包括超时和断开行为,以进一步提高安全性。
启用审计日志和管理员日志(如果适用,可将其转发到您的SIEM解决方案)。
为您的日志和录制设置保留和审查节奏。
请确保记录例外情况,并说明您使用的补偿控制措施,以展示全面的安全性和意识。进行季度访问审查和收集证据演练也很重要,以保持对谁在访问什么的意识,并为审计做好准备。
审计员会要求提供哪些证据,以及如何快速地生成这些证据?
当您进行审计时,您需要提供证据,展示您的安全技术、法规、实践等内容,包括展示合规性的记录。如果你没有准备好,收集和整理所有这些信息可能会花费时间。然而,如果你知道审计会查找什么,那么收集所需的信息就很容易了。
准备审计时,寻找以下内容:
证据 | 来源 |
访问日志 | 远程访问平台日志或SIEM |
管理员更改历史 | 管理员审计追踪 |
多因素身份验证的实施 | 身份提供者和平台设置 |
访问日志审查 | 导出的用户访问列表和审批记录 |
会话录制(如果使用) | 录制策略和保留设置 |
设备库存和补丁状态 | 端点管理报告 |
考虑到这一点,还有一些常见的审计陷阱需要注意。在准备审计时,这些错误可能会导致延误,甚至导致�失败:
缺失的日志: 缺失的日志会造成一个重要的盲点,导致活动没有被记录,可能会导致失败。
共享账户: 共享用户账户是一个重大的安全风险,因为它降低了责任感,并使账户更容易被盗用。
过于广泛的访问权限:用户访问权限必须根据角色和部门进行限制;如果授予所有人广泛的访问权限,意味着单个被破坏的账户就可能对公司造成重大损害。
缺乏审查:如果没有人审查日志,记录和监控行为就毫无意义。定期审查对于识别可疑活动和确保安全合规性至关重要。
未记录的例外: 有时您需要为某个端点或用户做出例外。在这些情况下,必须记录它们,并附上关于如何在允许例外的同时保持安全性的清晰说明。
如何在满足合规要求的同时,又不让用户觉得远程访问很麻烦?
这些要求听起来可能很繁重,但当你标准化访问等级、通过集中策略强制默认设置,并将日志记录和审查视为常规操作而不是审计时间的紧急处理时,它们就会变得易于管理。
安全远程访问和安全合规的最佳实践包括:
为员工、IT管理员和第三方供应商标准化访问层级,为每个群体建立一致的权限基线。
使用组和模板,而不是一次性的策略来管理访问权限,然后根据需要使用准时访问来为个人进行调整。
将日志和审查作为日常政策和实践的一部分,这样在审计前就不必匆忙收集信息。
避免使用可能带来安全风险的危险会话功能,仅在例外情况下允许使用。
Splashtop 如何帮助满足受监管环境中的远程访问合规性要求?
如果您需要符合监管行业期望的远程访问,Splashtop可以通过提供强制执行的访问控制、集中式策略管理和可供审核的日志记录来帮助您。目标不是“购买合规性”,而是始终如一地执行安全要求,并在审查期间能够证明这一点。
Splashtop Enterprise 支持有人值守和无人值守的远程访问,适用于常见的操作系统,并提供管理控制,帮助团队根据角色划定访问范围,集中管理策略,并维护会话和管理活动记录以便审计。
Splashtop支持哪些远程访问安全控制?
Splashtop 包含的安全控制可以帮助组织满足常见的合规性预期,并且支持通常为保证计划(如SOC 2和ISO/IEC 27001)所需的证据收集。包括:
远程会话的加密: Splashtop 使用256位 AES 加密来保护远程会话,并在传输中对数据进行加扰。
MFA支持: Splashtop使用多因素身份验证来确保账户安全,并在允许用户访问之前验证用户。
SSO/SAML 支持: 使用单点登录或安全断言标记语言的用户可以在适用的情况下,使用他们的集中式 SSO 用户 ID 和密码登录。这包括对Okta、Azure AD、OneLogin、G-Suite等的支持。
精细控制权限和访问范围: 管理员可以完全控制用户和组对特定网络区域或资源的访问权限,通过基于角色的访问控制和零信任安全性来保护数据。
IP 白名单��控制:管理员可以设置 IP 白名单,以便用户仅能从已识别和批准的 IP 地址连接,从而进一步管理对网络、服务器和应用程序的访问。
水印选项: 在远程会话期间添加水印以保护机密信息,确保用户归属和威慑作用。
会话录制用于审计和培训: Splashtop 可以自动录制远程会话,提供用户活动的清晰记录,用于培训和审计。
支持SIEM工作流的日志记录: Splashtop还可以记录远程会话以支持安全信息和事件管理(SIEM)工作流,通过上下文分析和威胁情报更容易检测和调查潜在事件。
Splashtop 如何支持审计准备和证据收集?
金融和政府机构必须进行严格的审计,以确保网络安全和IT合规性。这些审计需要详细的日志和证据,证明具有高度的安全性,包括管理数据处理和网络保护的政策和工具。
Splashtop 支持审计准备工作:
会话日志和管理员活动可见性,提供所有远程会话和用户活动的清晰记录。
会话录制保留符合公司政策,确保记录保留所需的时间。
集中式策略管理,从单个仪表盘一致地在终端上执行你的安全规则。
Splashtop AEM 如何加强远程访问程序的合规性?
Splashtop AEM 支持远程访问程序的端点姿态管理,通过提供硬件及软件的盘点信息、补丁可见性和部署,以及基于CVE的漏洞洞察来跟踪修复进度。这有助于团队减少端点暴露并提供证据,证明设备卫生控制得以维持。
Splashtop AEM 提高终端安全态势:
补丁可见性和自动补丁部署,改进补丁��合规性并减少员工使用的端点上的可利用暴露,同时节省IT团队的时间和人工。
硬件和软件清单,在新的终端连接时自动更新,并提供持续的监控和审计证据。
基于CVE的漏洞洞察,通过实时识别已知威胁、提醒IT团队并提供自动修复来改善网络安全。
评估远程访问供应商是否符合规定时应该注意什么?
当您在寻找远程访问解决方案时,如何确保您考虑的那些有您所需的所有安全功能?有几个关键功能可以帮助金融和政府机构维持安全合规,我们已将其编成清单以方便您使用。
在您的远程访问软件中查找以下内容:
身份和身份验证功能,例如 MFA、SSO 或 SAML。
最小特权原则,包括RBAC和设备分组。
会话管理工具,如功能控制、会话超时和可配置的断开行为。
可审计功能,包括日志、管理员审计追踪、SIEM支持和录制选项。
管理员可管理性,例如策略模板和可导出报告。
实践胜于承诺;查看供应商能提供哪些文档和证据,而不是仅凭良好的信任接受一切。
通过Splashtop保持安全性和合规性
在高监管行业,如金融和政府,安全要求并不是松散的建议。合规需要持续的安全、监督和管理,而审计成功则依赖于执行和证据。
使用 Splashtop,团队可以强制实施安全的远程访问控制,并维护所需的审核证据以展示一致的治理。结合 Splashtop AEM,IT 团队可以通过支持合规审核的补丁和资产可见性来加强终端的状态,从而降低运营风险。
准备好让远程访问变得简单而安全了吗?今天就试用Splashtop,亲身体验一下吧。
