Säkerhet

Så bygger du säker fjärråtkomst med GlobalProtect

Illustration av säker fjärråtkomst med GlobalProtect

Säker fjärråtkomst skapas inte av klienten ensam. Den uppstår när identitet, enhet, nätverksregler och support samverkar. GlobalProtect kan bära och tillämpa organisationens beslut, men besluten måste först vara begripliga, proportionerliga och möjliga att följa upp. Börja därför med verksamhetens behov och bygg den tekniska lösningen runt dem.

Definiera vad GlobalProtect ska skydda

Kartlägg vilka personer som arbetar utanför kontoret, vilka tjänster de behöver och vilken information tjänsterna hanterar. En ekonomirapport, ett internt nyhetsflöde och en administrativ konsol har olika risk. När resurser klassificeras kan åtkomsten delas i mindre roller i stället för att alla får samma nätverksväg. Dokumentera vem som äger varje beslut och när det ska granskas.

Bestäm också vad som händer om fjärrtjänsten är otillgänglig. Kritiska arbetsflöden kan behöva en godkänd reservrutin, medan andra kan vänta. En reservrutin ska vara testad och får inte bygga på delade lösenord eller okontrollerade privata tjänster.

Stärk identiteten

Lösenord bör kombineras med flerfaktorsautentisering. Välj en metod som står emot nätfiske och skapa en säker process för nyregistrering och återställning. Supporten ska verifiera personen innan en faktor återställs; annars blir återställningen den svagaste länken. Administrativa konton bör vara separata från vanliga användarkonton och få striktare villkor.

Kontots livscykel är lika viktig som inloggningen. Behörighet ska aktiveras efter godkännande, ändras när rollen ändras och tas bort utan dröjsmål vid avslut. Tillfälliga konsulter bör ha ett slutdatum som inte kräver manuell bevakning.

Kontrollera enhetens skick

En krypterad tunnel gör inte en osäker dator frisk. Organisationen bör därför ange vilka operativsystem och klientversioner som stöds, hur snabbt säkerhetsuppdateringar krävs och om disk­kryptering och aktivt skydd är obligatoriskt. Kraven ska vara möjliga att mäta och användaren ska få ett begripligt besked när enheten inte uppfyller dem.

Privata och företagsägda enheter kan behöva olika åtkomst. En privat enhet kanske endast får nå en begränsad webbtjänst, medan en hanterad dator kan nå fler interna resurser. Detta är lättare att försvara än en enda regel för alla enheter.

Utforma nätverksvägen med avsikt

Full tunnel leder mer trafik via organisationens kontrollpunkt och kan ge enhetlig inspektion, men kräver kapacitet och bra geografisk placering. Delad tunnel kan förbättra prestanda men måste begränsas till tydligt definierad trafik. Dokumentera varför varje undantag finns, vem som godkänt det och hur det testas.

DNS är en central del av designen. Interna namn måste lösas på rätt plats utan att all offentlig namntrafik orsakar onödiga omvägar. Testa både interna och externa tjänster, växling mellan nät och återanslutning efter vila.

Gör förändringar kontrollerat

Nya klientversioner, certifikat och policyer bör först provas i en pilotgrupp som representerar olika enheter och arbetsmönster. Definiera vad ett lyckat test innebär, hur fel rapporteras och hur en återgång görs. Ändra inte flera stora komponenter samtidigt, eftersom det försvårar felsökningen.

Kommunicera förändringen före genomförandet. Användaren behöver veta när den sker, vilket synligt beteende som är normalt och vart ett problem ska rapporteras. En kort och konkret text minskar onödiga supportärenden.

Följ upp utan onödig övervakning

Loggar ska användas för säkerhet, felsökning och kapacitetsplanering med tydligt syfte och begränsad åtkomst. Samla inte mer än vad som behövs. Bestäm lagringstid och separera teknisk händelseanalys från bedömning av en persons arbetsprestation. Användarna bör få information om behandlingen.

Följ mönster som upprepade autentiseringsfel, ovanliga anslutningsplatser, hög felgrad efter en uppdatering och resurser som ofta misslyckas. En enskild händelse kräver sammanhang; automatisk blockering ska kombineras med en process för säker återställning.

Förbered incidenthantering

Planen ska beskriva vem som kan återkalla sessioner, spärra konton, isolera enheter och informera användare. Kontaktvägar måste fungera även när den vanliga fjärranslutningen ligger nere. Öva på ett realistiskt scenario och dokumentera vilka beroenden som saknades.

På vår startsida finns en samlad introduktion till globalprotect client och hur klienten passar in i helheten. Använd den som orientering, men låt alltid organisationens godkända dokumentation styra produktionen.

Sammanfattning

En säker GlobalProtect-miljö har avgränsade resurser, stark identitet, verifierade enheter och kontrollerade nätverksvägar. Den förändras genom pilotgrupper, följs upp med proportionerliga loggar och stöds av en övad incidentprocess. När ansvar och instruktioner är tydliga blir det enklare att både skydda information och ge användaren en stabil arbetsdag.

Artikeln är oberoende informationsmaterial. Produktionsändringar ska godkännas och testas enligt din organisations process.