为什么VPN无法满足混合办公需求与特权访问管理在防范第三方风险中的重要性

首先要明确的是，支持"混合办公"与支持"混合劳动力"并不相同。支持混合办公需要确保员工在办公室、家庭或外部场所之间移动时，能够安全地访问适当的公司资源。如果组织允许混合办公，本质上就拥有了"混合劳动力"，即包含现场和远程用户的组合。例如：

• 远程员工可能是在工作现场而非公司网络上的员工。
• 他们可能是出差拜访客户和潜在客户的高管或销售代表。
• 他们可能是继续支持居家办公的组织中的远程办公员工。

但即使所有员工都在办公室，也可能存在混合劳动力。这是如何实现的？这是因为最后一类远程工作者，包括需要访问公司网络和资源但不在该网络上的第三方供应商、承包商和顾问。

为了支持包含外部供应商的混合劳动力，企业必须以不同于支持远程员工的方式为这些供应商提供安全的远程访问。传统上，公司依赖VPN（虚拟专用网络）进行远程访问，但VPN从未设计用于满足外部用户所需的控制、安全性和可见性水平。

外部用户通常需要临时或有限访问敏感系统，并且必须与用于访问这些系统的特权凭证隔离。对于这些用户，供应商特权访问管理（VPAM）解决方案提供了一种更现代、更安全的方法。VPAM不仅更精确地控制访问，还帮助组织减少与第三方访问相关的日益增长的风险。

为什么VPN不再适合混合或扩展劳动力

VPN在用户和内部网络之间创建加密隧道。一旦连接，用户通常获得广泛的网络级访问，可能包括应用程序、文件服务器、数据库和其他敏感基础设施。虽然这对于安全环境中受信任的员工可能是可接受的，但当应用于外部或临时用户时，会构成严重的安全缺陷。

关键VPN弱点：

• 完全网络暴露 VPN不区分员工和第三方用户。一旦连接，两者都可能获得超出所需的访问权限，违反最小特权原则。

• 横向移动风险 如果外部用户的凭证被盗或其设备受损，攻击者可以在内部网络中自由移动。

• 缺乏精细化访问控制 VPN通常缺乏基于角色的策略。IT团队无法轻松限制对特定应用程序或服务器的访问，而无需复杂的网络分段。

• 无会话监控或记录 VPN对用户连接后的行为提供很少可见性。如果供应商处理数据不当或进行未经授权的更改，可能没有审计跟踪。

• 凭证共享 承包商有时在团队之间共享登录凭证，这会产生责任和跟踪问题，尤其是在使用共享管理员账户时。

第三方访问的额外风险

第三方供应商和承包商带来独特的安全挑战：

• 非托管设备 供应商可能使用个人或非托管设备，缺乏适当的防病毒、端点检测或补丁管理，增加了攻击面。

• 短期访问需求 外部用户通常只需要几小时或几天的访问。VPN并非为快速或安全地授予和撤销有时间限制的访问而构建。

• 不可信网络 承包商可能从不安全的位置（如酒店、咖啡馆或公共Wi-Fi）连接，增加了会话劫持或数据拦截的机会。

• 缺乏问责制 没有适当的监控或身份控制，公司无法证明谁做了什么，这是合规和取证风险。

为什么VPAM是更好的解决方案

供应商特权访问管理（VPAM）工具专门设计用于处理外部用户的敏感访问。它们结合了强身份验证、精细权限管理和会话记录，使其成为保护第三方访问的理想选择。

VPAM如何解决VPN缺陷：

VPAM实战：真实场景

假设一个软件供应商需要访问公司的生产服务器以应用补丁。使用VPN，供应商可能被授予网络访问权限，甚至可能获得手动登录的凭证。这为配置错误、未经授权的访问或凭证盗窃打开了大门。

使用VPAM：

• 供应商通过多因素身份验证进行验证。
• 访问仅在批准的时间窗口内授予。
• 供应商永远不会看到实际密码。相反，VPAM工具通过会话管理器连接他们。
• 所有操作都被记录、记录并实时监控。

如果出现问题，公司IT可以完全了解发生了什么以及何时发生。

结论

在混合劳动力和复杂第三方关系的世界中，VPN已经过时，无法管理安全访问。它们提供过多访问、过少控制和几乎无可见性。供应商特权访问管理（VPAM）是一种更智能、更安全的方法。它通过提供临时、受控的访问仅限用户需要的系统，并具备完整审计、基于角色的策略和会话记录，来降低风险。VPAM帮助企业执行最小特权、减少攻击面并确保问责制。随着混合劳动力的增长和更多组织依赖外部帮助，VPAM迅速成为必需品。

关于作者

Karen Gondoly是Leostream的首席执行官，这是一个供应商中立的平台，为组织提供全面且可扩展的解决方案，以安全地交付和管理对在本地和云环境中托管的物理和虚拟机的远程访问。

Karen可以通过kgondoly@leostream.com在线联系，在X上通过https://x.com/Leostream/联系。