用好條件通路，遠端辦公更安全高效

遠端辦公已經成為未來IT戰略不可或缺的一部分，全職現場辦公的時代似乎已經漸行漸遠。疫情的爆發推動了IT industry快速學習如何支援和管理遍布全球的員工隊伍和客戶群。将遠端辦公作為一項長期IT戰略來實施也很緊迫。

是以，企業應該了解未來遠端辦公和現場辦公的混合辦公模式，并制定相關政策。

與遠端員工的資訊安全相比，建立企業總部的IT安全政策是完全不同的思路。從安全角度來看，在為總部設計戰略時，應考慮更多的變量。例如，以前IT可以很容易地監控傳入的IP位址作為登入憑證的起點，而現在如果使用者不通過VPN連接配接，就很難實作這一點。是以，許多企業仍然選擇首先為遠端員工制定安全政策。問題是如何在不影響工作效率的情況下為遠端員工建立一個安全的基礎。

為此，IT 部門可以部署零信任政策，零信任假定使用者、裝置、網絡和其他資源都不可信，除了提供相應憑證外，使用者必須驗證身份或滿足處于安全狀态的條件才能通路所需資源。

在零信任部署的初始階段，企業可以采用條件通路政策，該政策規定使用者隻有通過特定驗證條件後才能通路 IT 資源，這些資源與使用者已經通過憑證授權通路的内容無關，相當于在現有 IT 環境基礎上增加了一層防護。條件通路政策包含以下三個關鍵因素：

• 驗證使用者身份
• 驗證可信裝置
• 驗證使用者是否連接配接到許可網絡

下面将分别介紹條件通路的三大要素。

1. 驗證使用者身份

驗證使用者身份是確定遠端通路安全的首要步驟，除了強密碼之外還可以使用條件通路管理所有形式的憑證控制工具，包括多因素認證（MFA）。

在憑證洩露的情況下，MFA 是抵禦網絡釣魚攻擊的有力武器，可以防止黑客從任意位置利用憑據。然而，有些企業認為如果可以驗證使用者的網絡位置可能就不需要強制實施額外的安全層，這時也可以使用條件通路強制遠端員工輸入 MFA 憑證，現場辦公的員工可以直接跳過。

企業還可以對需要通路企業資源的特定組要求實施多因素認證 MFA。例如，客戶服務團隊隻需要用郵件和客戶溝通，是以可以跳過 MFA 提示直接通路裝置，而其他部門員工都必須在裝置上使用 MFA 保護業務中的關鍵軟體或系統。

2. 驗證可信裝置

要確定員工隻能從公司安全裝置通路資源可以使用裝置信任元件。當使用者從可信裝置通路資源時，IT 部門可以設定政策，減少 MFA 的提示次數；使用自帶裝置（BYOD）等不可信裝置時則會觸發條件通路政策。

條件通路還可以防止員工從不可信裝置通路公司資源，IT 部門可以設定政策規定哪些裝置可以通路哪些公司資源。對于不可信裝置，員工隻能檢查郵件，沒有其他通路權限。

由于現在幾乎所有裝置都可以通路郵件和網頁，企業 IT 部門可以利用好條件通路根據公司相關政策對裝置和通路權限進行适當管控。

3. 驗證網絡

條件通路政策的最後一個要素是網絡信任政策。鑒于遠端辦公在未來很有可能會常态化，確定員工的網絡安全也是必不可少的一步。

1）通過白名單 IP 識别網絡信任

建立網絡信任最安全的方法是使用已知的 IP 位址清單允許員工通過家庭網絡或使用 VPN 通路企業資源。通過網絡信任政策，企業可以防止員工在公共網絡等不可靠網絡上通路敏感資源，而連接配接家庭網絡或 VPN 的員工可以擷取完整的通路權限。

但在具體實踐中，一旦遠端使用者群擴張到一定程度，或者員工的辦公場所産生更多變化，網絡信任也會給管理帶來困難。是以，上述保護網絡信任的方法對于小型企業或遠端員工數量固定的企業來說更有效果。當員工連接配接到安全的許可網絡時，網絡信任可作為部分條件，放寬使用者的通路認證。

2）條件多因素認證

網絡信任也可以用于 MFA 政策。例如在辦公室網絡等白名單内的 IP 位址範圍減少 MFA的提示，而其他位址的通路一律需要 MFA 的憑證。

3）地理圍欄

如果企業隻是受業務性質所限無法管理 IP 白名單，IT 部門仍然可以驗證員工所處位置保障通路安全。假設一名上海的員工試圖從美國的 IP 位址擷取企業資源，無論該員工持有哪些憑證，地理圍欄政策都會阻止這類沒有通路權限的使用者通路資源。

4. 适合遠端員工的條件通路政策

條件通路政策可以幫助企業更好地管控員工通路，同時完善使用者體驗。條件通路基于零信任原則，可以確定隻有授權人員通過可信裝置在授權位置才能通路公司資源。此外，員工也可以通過 MFA 等其他方式通路資源。

零信任環境中，條件通路不僅為通路建立安全政策，也是指導了宏觀安全架構。企業需認識到在遠端辦公環境中對資訊安全時刻保持警惕的重要性，并且隻在滿足特定條件時才能靈活放寬。與此同時，條件通路允許企業的 IT 部門限制來自非托管裝置和風險網絡的通路，隻要員工滿足相應的安全條件仍然可以擷取完整的通路權限。