這是我們的安全訪問博客系列的第三篇文章。如果您還沒有閱讀過,請閱讀 Yanlin 的介紹性文章,該文章解釋了我們安全工作空間的基礎和願景:使用 Splashtop Secure Workspace 轉變安全訪問,以及他關於實際應用程序的文章:轉變安全訪問:Splashtop 安全工作空間的實際應用
使用 Splashtop 安全工作區進行更深入的挖掘
我在之前的文章中闡述了 Splashtop Secure Workspace 的 整體架構,並展示了我們的產品如何解決具有挑戰性的現實問題。我們系列的第三篇文章仔細研究了一些功能,這些功能使我們能夠解決我之前的文章“轉變安全訪問:Splashtop 安全工作區的實際應用程序”中列出的用例。
複習:Splashtop 安全工作區產品架構
讓我們回到產品架構的核心,這在我的第一篇文章《使用 Splashtop Secure Workspace 轉變安全訪問》中已進行了說明。
我們的架構脫離了傳統的「單點解決方案」方法,您可能會在市場上其他地方看到。 相反,我們編織了一個豐富的掛毯,集成了身份和認證管理、特權訪問管理以及網絡和應用程序訪問控制等元素。
我們系統的基礎是身份優先的安全方法,並通過與 Microsoft Entra ID (Azure AD)、Google Workspace 和 Okta 等熟悉的身份提供商的集成來支持。我們的內置身份代理功能還可以通過 SAML 或 OIDC 容納其他身份代理。Splashtop Secure Workspace 通過提供內置用戶和群組管理員作為選項,支持不使用外部身份提供商的組織。
我們推出了一個零知識秘密保險庫,它構成了密碼管理器和特權訪問管理前端的基礎。 該保管庫旨在幫助個人和組織認證管理,並促進密碼、API 密鑰甚至一次性令牌等秘密的共享。我們零知識設計的美妙之處在於,您和您本人(不是 Splashtop 或系統管理員)可以訪問您保管庫中的機密,從而確保最大程度的隱私。按需解密在需要時直接在您的裝置(桌面、移動應用程序、瀏覽器)上進行,並且共享秘密僅在使用時解密。這樣可以保護您的憑據的完整性,並將暴露的風險降到最低。
我們的平台隨時可以管理三個不同領域的訪問控制:基於互聯網的公共應用程序 (SaaS)、位於本地和 cloud中的私有應用程序以及通用網絡/互聯網訪問。我們的目標是隨著時間的推移擴大支持的深度和廣度。
為了提供清晰的視圖和輕鬆的故障排除,我們建立了最先進的觀察系統,我們將在下一條連線上討論;當然,幕後的內容遠比我們在一篇博文中可以分享的內容要多得多。如果此處概述的功能引起了您的興趣,我們熱烈邀請您註冊以 提前訪問 我們的 Splashtop 安全工作區。
原則 — 安全工作區背後的引擎
我們的旅程始於我們系統的核心支柱 — 政策。 這些創建了藍圖,為我們的安全工作區提供動力。 下圖說明了安全工作空間系統(由 cloud 控制器、Web 門戶和我們的全球邊緣網絡組成)如何控制客戶端對企業應用程序和資源的訪問。
政策的作用是至關重要的。 除了存取權利設定之外,他們還會在決定是否允許存取以及在何種條件下新增額外的維度。 配置過端點訪問產品的經驗豐富的IT管理員都知道這些產品的力量源自全面的策略。然而,有一種藝術可以平衡這些策略的粒度和可表達性與設置的簡單性和易用性。我們設計了我們的平台,以為您取得適當的平衡。
使政策簡化和可管理的關鍵之一在於採用全系統的政策,而不是糾結在無數領域特定的策略中。 現在,我想深入探討一下我們系統下的兩個這樣的全系統政策:統一政策和裝置政策。
組織層級的統一原則
許多組織努力實現一致的安全標準,並遵循業界最佳實務或法規遵循。 如今,IT 系統管理員經常發現自己處於雜耍行為中,嘗試在不同的結構描述和安全性物件模型中實作統一的原則。
借助 Splashtop Secure Workspace,我們使 IT 管理員可以輕鬆地在組織級別建立單一統一的原則係統。正如您所看到的,這些策略涵蓋了一系列元素,從身份驗證和授權到應用程序訪問條件、秘密訪問條件,甚至 Web 過濾。透過在一個整合的位置實作這些原則,組織可以在整個組織中維持標準化的存取管理實務。
裝置 註冊和安全態勢政策
同樣地,我們相信在所有企業裝置上都能維持統一的安全標準。 Splashtop Secure Workspace 提供了一種簡單的方法,可確保每個裝置在授予訪問權限之前滿足適當的安全級別。通過一組豐富的控制檢查磁盤加密設置、防火牆設置、防病毒軟件存在、操作系統版本和其他系統屬性等方面,IT 管理員可以實施正確的保護措施,以最大限度地降低設備受損的風險。
Splashtop Secure Workspace 還控制裝置在系統上的註冊,允許根據需要進行 IT 在環批准,以確認裝置身份。每次存取嘗試都會經過徹底的憑證檢查,以驗證這些裝置的身分識別。
應用程式和秘密層級存取原則
通過統一和裝置策略安全地部署基礎策略後,IT 管理員可以進一步在應用程序和機密級別定義條件訪問策略。
這些細粒度策略考慮了各種因素,例如時間、位置、裝置、網絡、瀏覽器和操作系統,為 IT 管理員提供了無與倫比的精確度並控制誰可以訪問應用程序和機密。IT 管理員越仔細調整條件式存取規則,就越能在組織的存取管理程序中建置彈性和增強安全性。
為應用程序設置做好準備
之前,我們討論了存取應用程式的政策,這些政策代表了我們旨在保護的資源。 現在讓我們把焦點轉向這些應用程序的設置。
我們的平台可以訪問一系列應用程序類型。 應用程序類別包括私有或公共 SaaS 應用程序、對 Windows、Mac 或 Linux 設備的 RDP 或 VNC 訪問、文件共享 (Microsoft SMB),甚至是來自辦公室或零售店的監控攝像頭的視頻流。借助 Secure Workspace(適用於 RDP、VNC、telnet、SSH 和 Kubernetes 控制等多種協議),我們可以從任何流行的 HTML5 兼容瀏覽器提供用戶端訪問和基於無用戶端瀏覽器的訪問。
在 Secure Workspace 中,公共應用程序是指通過 SAML 和 OIDC 等單點登錄 (SSO) 機制提供訪問的 SaaS 解決方案。另一方面,專用應用程序可以在互聯網或專用網絡上執行,並且通常不支持標準 SSO 集成。對於託管在專用網絡上的應用程序,Splashtop 安全工作區連接器可實現無縫訪問。這些連接器安裝在託管應用程序的專用網絡內,無論是在遠程辦公室、公司園區、私有數據中心,還是公共雲中的虛擬私有云(例如 Google、AWS 和 Microsoft Azure)。以下是我們的連接器可用的各種部署選項的快照:
上一節中討論的條件式存取原則會管理對這些已設定應用程式的存取。 此外,我們內置的秘密保險庫便於應用程序訪問共享秘密的分配。 此功能允許員工和外部各方訪問應用程序,而無需記住登入詳細資料或知道密碼。
配置應用程序後,它們會出現在 Secure Workspace Web 門戶、瀏覽器擴展以及桌面和移動應用程序中,允許根據用戶在組織內的組成員身份“一鍵式”安全訪問分配的應用程序。
揭開安全便捷的訪問共享
讓我們繼續探討我之前曾接觸過的使用案例:順暢且安全的第三方存取。 憑藉集成的機密庫、特權訪問管理功能以及公共和私人訪問方法,Splashtop Secure Workspace 可以為員工和第三方提供無縫的應用程序共享。
以下是第三方訪問的應用程序共享設置的外觀:
要在行動中可視化這一點,看看這個簡短的視頻:
該視頻演示了 Splashtop Secure Workspace 如何使用臨時訪問鏈接與第三方臨時共享訪問權限。此外,該平台使 IT 人員能夠利用身份提供者(IdP)快速吸引與組織有較長關係的第三方(例如承包商,實習生和審計員)。 它也可讓您使用動態認證,以便共用私人應用程式存取權 (例如透過密碼片語),而不會洩露實際的認證。
它解決了 IT 管理員無法解決的持續痛點,即使在嘗試合併多個產品之後也是如此。
持續保持警惕:安全的關鍵
任何安全訪問平台的一個重要方面是能夠監視和記錄所有事件。 Splashtop Secure Workspace 為 IT 管理員配備了實時連線管理工具。這使他們能夠監督活動用戶連線,在必要時終止它們,並強制執行連線記錄以進行審計和合規性。這種對連線的實時可見性和控制增強了安全性並提高了高效的連線管理。
此外,我們的平台通過事件日誌和連線視頻記錄提供全面的可見性。通過利用豐富的遙測數據,組織可以深入了解各種事件並根據需要查看連線記錄。這種全面的可見性強化了整個組織的安全狀態。
親身體驗
雖然我們已經討論了 Splashtop Secure Workspace 的關鍵方面,但我很高興與您分享更多功能。真正體驗平台全部潛力的最佳方法是註冊早期訪問。
在等待存取權時,您可以隨時瀏覽 Secure Workspace 文件和其他學習資源 供您使用。
在我即將發表的博客文章中,我將演示 Splashtop Secure Workspace 如何控制對您的私有大語言模型 (LLM) 的訪問的實用、真實的應用程序 — 事實上,您自己的個人“ChatGPT”不會意外洩露您的數據。敬請期待!