對您的雲端環境實現登入的限制
August 12, 2019
您是否擔心公司的機密資料因員工遺失手機而洩漏呢?您的 G Suite 、 Office 365 或是 Salesforce 環境是否經常提醒您有可疑登入的風險呢?您是否想控管使用者登入時之物理位置或裝置呢?
如果您對上述的問題感興趣,請您繼續閱讀下去。
現今隨著雲端服務的普及,許多企業因雲端之便利性、高擴展性而漸漸採用雲端。但是便利性與安全往往是一體兩面的,在追求方便與效率的同時,相對的,安全性因容易被忽略,而形成資安的漏洞和死角。根據我們的調查報告證實有32%的資料外洩都是因不正當存取而導致,在企業將服務架置於雲端的世代,駭客可以藉由多種管道更簡單、更隱密的攻擊或取得公司存放於雲端中的資料。如果這些雲端服務不額外追加一些安全性機制,公司放在雲端中的資料將存在隨時被竊取之風險。
比較典型的安全性登入機制有 IP 限制或是多因素驗證(如OTP)等都可以有效的阻擋一些不正當存取,或是降低駭客之風險。另外,在登入的頁面限制登入失敗的次數與使用者密碼強度之要求等作法都可以有效降低不正當存取的風險。
可是雲端服務百百種,不一定每一個雲端服務都支援 IP 限制或是多因素驗證機制。又,如果同時使用多種雲端服務,每位使用者需要記住的帳號和密碼就會越來越多,但因著密碼原則的強度要求,使用者容易忘記或是會把登入的帳號密碼寫在紙上、記在手機裡。此種使用者習慣的風險,也成為資安上的一大漏洞。因追求密碼的安全複雜性,而遺忘人性化和實際情境下的使用方式,反而造成更多的資安漏洞。
HENNGE Access Control 是 HENNGE 公司為解決登入各種雲端服務時所遇到的安全性漏洞疑慮所提出之解決方案,並提供依公司裡各種角色所制訂適合該名角色的多樣化登入規則。
如業務部門可以透過以個別裝置綁定憑證方式來實踐以裝置控管存取的目的,而在公司裡的工程師則可以直接綁定 IP 位置以確保極具機密性的公司程式源碼不會遭受公司外部之不正存取。
以下放入 HENNGE Access Control 的介紹資料:
HENNGE Access Control
存取控制台為提供將各種雲端服務進行 SSO (單一登入) 的整合平台,並支援 SAML 2.0 的 Office 365、Salesforce、Box 等等。當這些雲端服務跟 HENNGE Access Control 完成連結後,使用者藉由 HENNGE Access Control 登入各種雲端服務,來強化帳號密碼之防護性:
IP 限制
最簡單的方法就是從限制使用者可以登入的環境考量。而一般公司都有固定的公開 IP 位置,使用者只能透過連接辦公室IP登入,故當員工離開辦公室的IP環境,即無法再登入雲端環境。
OTP 多因素驗證
一般在只輸入帳號和密碼的情況下,一旦使用者的帳號、密碼被竊取,駭客就可以輕鬆地冒充員工正當地登入公司雲端環境。若公司有使用 OTP 機制做兩階段驗證,當駭客只取得帳號、密碼時,還需要擷取到電子郵件或手機簡訊的驗證碼才有機會登入。
HENNGE Secure Browser
HENNGE 自行開發的安全瀏覽器為一個可以確保當使用者在公司外部環境(如自己的機、家裡的電腦等)登入雲端時,限制使用者只能透過這個特別的瀏覽器進行登入。其它的瀏覽器都將被拒絕在外而無法登入。此一特殊瀏覽器限制使用者下載檔案和複製文字,所以可以避免公司文件滯留於員工的自有裝置中。
HENNGE 裝置憑證
若欲讓使用者在公司外部仍可以正常存取雲端,我們建議您使用裝置憑證。裝置憑證可以讓使用者「下載檔案」、「複製文字」也可以「用一般的 App 來登入」,可以在不影響使用者使用習慣下,透過綁定特定裝置之方式達到登入限制。
上述的登入規則可以透過各種使用情境之組合,讓使用者更彈性、便利地運用雲端,公司亦可以依照部門或是個別員工制訂不同層級的限制規則。若想了解更多,歡迎參考:https://hennge.com/tw/service/one/
喜歡這篇文章嗎?歡迎分享出去!