Cloudflare je predstavio rješenje Remote Desktop Protocol (RDP) bez klijenta, bazirano na pretraživaču, proširujući svoje mogućnosti pristupa mreži sa nultim povjerenjem (ZTNA) za siguran pristup Windows serveru.
Ova nova ponuda, koja slijedi nakon izdavanja kratkotrajnog SSH pristupa u oktobru 2024., eliminira potrebu za tradicionalnim RDP klijentima uz održavanje sigurnosti i performansi.
Remote Desktop Protocol, prvobitno objavljen 1998. sa Windows NT 4.0 Terminal Server Edition, dugo je opterećen sigurnosnim ranjivostima uprkos njegovoj širokoj upotrebi u organizacijama.
Složenost RDP-a za rukovanje snimanjem ekrana, komandama za crtanje i video tokovima čini ga računski zahtjevnim i teškim za osiguranje.
“RDP je također korišten za implementaciju ransomware-a kao što su Ryuk, Conti i DoppelPaymer, čime je dobio nadimak “Protokol isporuke ransomware-a”, napominje Cloudflare u svojoj najavi.
Pristup zasnovan na pretraživaču zadovoljava nulto povjerenje
Cloudflare-ovo rješenje rješava rastuću potrebu za sigurnim udaljenim pristupom, posebno za organizacije s distribuisanom radnom snagom i izvođače trećih strana koji koriste lične uređaje.
Tradicionalna rješenja zahtijevala su ili instalaciju klijentskog softvera ili mrežne prolaze kao što je Apache Guacamole, stvarajući kompleksnost infrastrukture i opterećenje održavanja.
Nova implementacija koristi IronRDP, RDP klijent visokih performansi koji radi u pretraživaču. Napravljen sa Rustom, IronRDP nudi značajne prednosti u odnosu na alternative zasnovane na Javi kao što je Guacamole.
Sistem elegantno rješava ograničenja pretraživača tako što inkapsulira RDP sesije u WebSocket veze.
„Omotavanje Layer 4 TCP saobraćaja u HTTPS omogućava klijentu da koristi izvorne API-je pretraživača za komunikaciju sa Cloudflare-ovim RDP proxyjem,“ objašnjava kompanija. Ovaj pristup omogućava Cloudflare Access-u da zaštiti sesije sa politikama svjesnim identiteta putem JSON Web tokena (JWT).
Tehnički tok posla uključuje:
- Korisnik bira RDP server iz Cloudflare-ovog pokretača aplikacija
- Autentifikacija se događa putem Cloudflare Accessa, provjeravajući JWT tokene
- IronRDP web klijent se isporučuje korisnikovom pretraživaču
- RDP saobraćajni tuneli preko TLS-osiguranih WebSockets-a do Cloudflare Workers-a
- Saobraćajne rute kroz Apollo uslugu do ciljanog tunela Cloudflare
- NTLM autentifikacija se povezuje na Windows server
- Proxy usluga uspostavlja zaštićenu vezu
Sigurnost na nivou preduzeća bez kompromisa
Rješenje primjenjuje moderne sigurnosne standarde, odbacujući zastarjele mehanizme autentifikacije i slabu enkripciju. Svaka konekcija zahtijeva sigurnost WebSocket-a zasnovanu na TLS-u, s primjenom politike za SSO, MFA i provjere položaja uređaja.
Administratori dobijaju detaljnu kontrolu kroz pristup zasnovan na politikama i sveobuhvatne evidencije revizije za zahtjeve usklađenosti. Rješenje se integriše sa provajderima korporativnih identiteta putem SAML i OIDC protokola.
Cloudflare planira poboljšati rješenje s mogućnostima praćenja sesija i funkcijama za spriječavanje gubitka podataka. Napredne metode provjere autentičnosti, uključujući opcije bez lozinke kao što su klijentski certifikati i pristupni ključevi, su na mapi puta.
Kompanija također slijedi FedRAMP High certifikat kako bi ispunila vladine i regularne zahtjeve industrije za zaštitu podataka, upravljanje identitetom i odgovor na incidente.
Za organizacije koje se bore sa sigurnim udaljenim pristupom Windows okruženjima, Cloudflare RDP rješenje zasnovano na pretraživaču nudi obećavajuću alternativu koja balansira sigurnost, performanse i upotrebljivost bez ugrožavanja zahtjeva preduzeća.
Izvor: CyberSecurityNews
