过去几个月里,勒索软件和黑客频频登上头条,远程访问解决方案安全协议存在的问题越来越多,VPN(虚拟专用网络)安全漏洞和 RDP(远程桌面协议)问题也接连出现。我们曾听说,有人将 RDP 及其固有风险与 Splashtop 的解决方案进行比较。
Splashtop 的首席营销官 Michelle Burrows 与 Splashtop 联合创始人兼首席技术官 Phil Sheu 以及安全与合规高级总监 Jerry Hsieh 共同探讨人们对 RDP 的担忧是否有必要,并将 RDP 与 Splashtop 解决方案进行比较。
Michelle:我最近阅读了许多有关 RDP 风险的文章,其中一篇探讨了 RDP 不安全的各种原因。有些企业非常注重安全性,为什么你认为 RDP 并非他们的正确选择?
Jerry:在我们讨论为什么 RDP 会对企业构成威胁之前,需要先了解 RDP 的定义及其出现原因。RDP 技术由来已久,最初为 IT 人员而设计,确保 IT 人员无需进入服务器机房就能访问服务器。服务器机房通常温度极低,而且里面有大量设备,噪音很大,RDP 的出现正是为了解决这一特殊问题。IT 人员不愿意频繁出入机房,更不用说在里面工作了,原因不言自明。RDP 的出现让 IT 人员能够通过启动 RDP 会话远程控制服务器,无需前往冰冷而嘈杂的服务器机房。
随着时间的推移,IT 人员逐渐意识到 RDP 并不太安全,然后有些人开始添加其他安全设置,例如 ACL、防火墙策略,如果员工需要在公司网络之外访问 RDP,有些人还会添加 VPN 网关以增加安全保护层。我曾与那些认为这种做法非常安全�的团队展开讨论,但错误配置常常会导致系统崩溃。
几周前的采访中我们谈到过,诸多原因致使 VPN 不安全。后来我发现,有些团队认为同时使用这两种易受攻击的旧技术可以增强安全性。这就好比我们在房子周围围上栅栏,但又敞开栅栏大门,房门也未上锁。这样做,房子里的资产根本得不到保护。同样,VPN 的安全功能也无法弥补 RDP 的安全漏洞。
Michelle:刚才听你说了许多不能使用 RDP 或 VPN 的原因,但为什么 IT 团队仍在使用这类技术?
Jerry:IT 人员仍在使用 RDP 以及 RDP 与 VPN 的组合,主要原因是这类技术完全免费且容易部署。这类技术已嵌入 Microsoft,是 Windows 实用程序的一部分。这意味着,IT 团队不需要购买任何特殊技术,RDP 与 VPN 具有 Microsoft 许可证,但 RDS(远程桌面服务)需要额外的许可证。
Michelle:Phil,关于 RDP 及其安全漏洞,你有什么看法?
Phil:RDP 确实由来已久,甚至在 HTTPS 和 TLS 还没有成为保护互联网流量的黄金标准之前 RDP 就已经存在了。RDP 通过特定端口工作,并会对该端口的任何“ping”操作做出响应。在此端口打开且 RDP 开启的情况下,连接到 Internet 的计算机可以在短短90秒内遭到攻击。攻击者非常擅长寻找和发现易受攻击的 RDP 端点。通过获得对 RDP 端点的访问权限,攻击者可以随后访问此台计算机所连接的公司网络。
Michelle:请介绍一下 Splashtop 与 RDP 的区别。
Phil:Splashtop 采用云原生技术,使用 HTTPS、TLS 等行业标准安全协议。和现在的所有标准加密 Web 流量一样,Splashtop 的数据传输通过端口443,通过全球中继服务器促进远程连��接。这表明,Splashtop 的客户不需要特殊端口,防火墙也不需要允许特殊的例外情况。使用 Splashtop 的计算机不用暴露在 Internet 或 DMZ 中,这样可以防止攻击者轻松扫描和发起攻击。
Michelle:也就是说,Splashtop 有自己专门的技术,对吗?
Phil:是的,我们有专门技术。在远程访问方面,Splashtop 和 RDP 几乎完全不同。有些公司已经选择使用 RDP,但为了安全和用户体验,我们决定创建一些独特的技术。
除了安全性之外,Splashtop 还可以帮助 IT 和帮助台客户访问大量不支持 RDP 的设备(比如 Mac、iOS、Android,甚至某些版本的 Windows),Splashtop 的所有产品都具有同样的高性能和可用性。
关于 RDP,我再进一步说明一下。让我们继续使用 Jerry 刚才讲到的比喻。假设你在街边有一所房子,房门敞开,这时房子里所有的财务基本都看得见。虽然并非整个周边地区都知道此刻你的房门敞开,但从旁走过的行人很容易就发现这所房子里没人,而且房门是敞开的。这就是 RDP。我们再假设这所房子位于封闭式小区。但是,房门和小区大门都敞开着。这就是 RDP 和 VPN 组合使用。
我们再使用这个比喻来解释 Splashtop 的工作原理。假设这所房子位于封闭式小区,大门口还有保安。然后,关上房门,给大门上锁,保安负责检查访问权限。大门外没有人可以看到这所房子,也看不到里面的财物。事实上,即便站在大门后面也看不到这所房子。也就是说,谁也看不到这所房子和里面的财物,谁也不会知道你是否在家。不过,你可以邀请某个人进入,但这不是公开邀请,不允许其他任何人窥视。这就是 Splashtop 更加高级的工作原理。
Michelle:谢谢你的比喻,也非常感谢你愿意花时间向我们进一步说明��。如果我们的博客读者希望更深入地了解 Splashtop 的安全性,要如何操作?
Phil: 我很愿意与我们的客户和未来的客户分享一些安全资源。 我们在网站上创建了一个部分,专门讨论安全和人们可能有的问题。 你可以在这里访问它: https://www.splashtop.com/security
