Im Büronetzwerk stellte sich jahrelang eine Sicherheitsfrage: Woher kommt diese Verbindung? Mitarbeiter, die auf interne Dashboards oder Cloud-Verwaltungsbereiche zugreifen, erscheinen oft hinter derselben öffentlichen IP-Adresse. Sicherheitsteams könnten diese Adresse auf eine Zulassungsliste setzen und Datenverkehr von anderswo ablehnen.
Die verteilte Arbeit hat diese Annahme geschwächt. Die Mitarbeiter verbinden sich jetzt über Breitband zu Hause, cell Hotspots, Coworking Areas und temporäre Standorte. Das Büro existiert möglicherweise noch, seine IP-Adresse repräsentiert jedoch nicht mehr das gesamte Unternehmen.
Die Büro-IP conflict ein unsichtbarer Ausweis
Eine Büro-IP-Adresse conflict nie eine Benutzeridentität, sondern fungierte als nützliches Netzwerksignal. Administratoren könnten diesen Ursprung mit Passwörtern, Multifaktor-Authentifizierung und Anwendungsberechtigungen kombinieren.
Das Modell conflict einfach, da sich die Adresse selten änderte und auf eine bekannte Gerätegruppe angewendet wurde. Außerdem wurde die Anzahl der Standorte reduziert, an denen smart Dienste erreicht werden dürfen.
Das Drawback beginnt, wenn legitime Benutzer keinen gemeinsamen Ursprungspunkt mehr haben. Ein Heimanbieter kann die Adresse eines Mitarbeiters wechseln. Eine Mobilfunkverbindung kann es wieder ändern. Journey fügt Netzwerke hinzu, die ein Unternehmen vernünftigerweise nicht auf eine dauerhafte Zulassungsliste setzen kann.
Warum SaaS-Plattformen immer noch den Netzwerkursprung überprüfen
IP-Zulassungslisten sind nach wie vor üblich, da sie eine klare äußere Grenze um non-public Ressourcen bilden. Ähnliche Steuerelemente gibt es in Cloud-Konsolen, Datenbanktools, Verwaltungsportalen und Unternehmenssoftware.
Die Steuerung bleibt nützlich, wenn eine Anwendung bereits eine starke Authentifizierung unterstützt. Ein gestohlenes Passwort oder Sitzungstoken wird weniger nützlich, wenn der Angreifer auch eine Verbindung von einem nicht genehmigten Netzwerk aus herstellt.
Der Versuch, den Fernzugriff aufrechtzuerhalten, indem mehr Dienste direkt dem Web zugänglich gemacht werden, birgt ein anderes Risiko. Unser letztjähriger Bericht über RDP-Dienste, die im Web exponiert sind, zeigte, wie schnell Distant Entry Factors Scan- und Anmeldeversuche anziehen.
Wiederherstellung einer gemeinsamen Netzwerkidentität
Ein verteiltes Unternehmen kann einen vorhersehbaren Ausgangspunkt wiederherstellen, ohne alle wieder in ein Gebäude zu bringen. Ein Unternehmens-VPN kann genehmigten Teamverkehr über dedizierte Server und statische IP-Adressen leiten, sodass geschützte Dienste eine konsistente, vom Unternehmen kontrollierte Verbindung erkennen können.
Non-public Gateways können Groups oder Funktionen trennen, sodass Entwickler, Finanzmitarbeiter und Administratoren nicht alle denselben Weg benötigen. Geräteeinschränkungen, zentralisierte Kontoverwaltung, SSO und SCIM-Bereitstellung erleichtern außerdem das Hinzufügen oder Entfernen des Zugriffs bei Rollenänderungen.
Dadurch wird die gemeinsame IP von einer physischen Bürofunktion in eine verwaltete Infrastruktur umgewandelt. Mitarbeiter können von verschiedenen Standorten aus arbeiten und dabei Diensten, die Zulassungslisten unterstützen, einen genehmigten Netzwerkursprung vorlegen.
Identitäts- und Gerätekontrollen sind nach wie vor wichtig
Eine statische Ausgangsadresse funktioniert am besten als eine Ebene in einer umfassenderen Zugriffsrichtlinie. Das Netzwerk kann bestätigen, dass eine Anfrage über eine genehmigte Route eingegangen ist, während Identitätskontrollen bestätigen, wer sie gestellt hat, und Geräteprüfungen bestätigen, was sie verwendet haben.
Diese Unterscheidung folgt den Zero-Belief-Prinzipien. Der Netzwerkstandort sollte Kontext liefern, aber nicht allein unbegrenzten Zugriff gewähren. Starke Authentifizierung, Rollen mit den geringsten Rechten, genehmigte Geräte und detaillierte Protokolle bleiben weiterhin erforderlich.
Ein kontrollierter Ausgangspunkt verleiht diesen Kontrollen eine stabile Netzwerkgrundlage. Sicherheitsteams können sich ständig ändernde Zulassungslisteneinträge reduzieren und Aktivitäten anhand einer kleineren, besser definierten Gruppe von Adressen untersuchen.
Erstellen Sie eine praktische Ausgangsrichtlinie
Bevor Sie eine gemeinsam genutzte statische IP zuweisen, dokumentieren Sie, wie diese verwendet wird:
- Personen: Geben Sie an, welche Groups und Auftragnehmer jedes Gateway verwenden können.
- Geräte: Entscheiden Sie, ob der Zugriff auf verwaltete Unternehmenshardware beschränkt ist.
- Dienste: Hear Sie die Repositorys, Dashboards, Datenbanken und Konsolen auf, die durch IP-Regeln geschützt sind.
- Authentifizierung: Erfordern eine Multifaktor-Authentifizierung und individuelle Konten hinter der gemeinsamen Route.
- Protokollierung: Zeichnen Sie Verbindungs- und Anwendungsereignisse auf, damit Aktionen nachvollziehbar bleiben.
- Ausnahmen: Definieren Sie, wie der dringende Zugriff funktioniert, wenn die normale Route nicht verfügbar ist.
- Offboarding: Entfernen Sie Konten, Geräte und Gateway-Berechtigungen, wenn jemand das Unternehmen verlässt.
Die Dokumentation zur IP-Zulassungsliste für Unternehmen von GitHub bietet ein praktisches Beispiel dafür, wie Unternehmenseigentümer den Zugriff auf non-public Ressourcen einschränken können, sodass nur angegebene Adressen akzeptiert werden.
Behalten Sie die Grenze bei, nachdem sich das Büro geändert hat
Das traditionelle Büro bündelte Menschen, Geräte und einen Netzwerkstandort. Hybride Arbeit trennte sie, aber Unternehmen benötigen immer noch vorhersehbare Wege, um smart Systeme zu erreichen.
Eine kontrollierte statische Ausgangsadresse stellt einen wertvollen Teil des alten Modells wieder her, ohne von einem Gebäude abhängig zu sein. In Kombination mit individueller Identität, genehmigten Geräten, bereichsbezogenen Berechtigungen und Protokollierung bietet es verteilten Groups eine erkennbare Netzwerkgrenze, die sich mit ihnen bewegen kann.