誰需要在家工作

WFH, Work From Home，字面上是在家工作，但現在已經是指廣義的 遠距工作、遠端工作及在家工作，而 WFH 這個名詞是在疫情期間才開始聲名遠播的，其實很早就有這樣子的工作型態。

中大型企業 WFH 制度行之有年，雖非每個人都有安排 WFH ，但包括 應用程式支援、安全性、技術面...考量的相對完善。

台灣中小企業通常沒有良善的 WFH 制度與規劃，通常只有認真的老闆與少數人可以把資料帶回家工作。中小企業在疫情時則是出現大量 WFH ，但相對準備不足。

在家工作要考量的事非常的多：在 IT 技術面主要有三：如何遠端、如何存取資源、如何顧及安全性。另外管理面還有一些大的議題：如何衡量績效、如何協同運作、如何激勵...。

管理面的問題我們探討不了，如果原本公司的各方面就已經數位化，那遠端後管理面就沒太大問題，但如果公司的管理還非常的人治，那遠端工作只能靠「彼此信任」了。

💡 WFH 的核心不是連得上，而是連得安心。

接下來就 IT 技術面來跟大家探討，先討論如何顧及安全性。

如何顧及安全性

遠端工作，最難的是「顧及安全性」，遠端工作環境不難，但能兼顧安全性卻非常的不容易。

開放遠端的安全風險的擔憂如下：

• 開放遠端後，是全世界任何一個角落的人、在任何時間、可以使用任何工具，來 try 你公司的系統。
• 一般企業內的應用環境，通常安全考量相對很薄弱，甚至中小企業的密碼也非常簡單、非常容易被猜到。
• 公司內只透過「網路線」來連接你系統的人，因為：(1)人數非常有限，(2)而且只有上班時間可為，(3)公司也都限制安裝軟體，(4)加上大都在老闆的眼皮下，有某種程度的嚇阻作用。所以，
  • 即使企業內安全性相對薄弱，但仍可安心。
  • 要在公司環境下侵入系統來竊取不法資料是頗有難度。
• 記得好幾年前，曾經有人信誓旦旦說自己發明的密碼保護多厲害，不可能被破解，歡迎駭客嘗試，結果大都沒多久就被破解了。這些駭客豪傑可是真有本事的。
• 可是當系統開放遠端後，全世界駭客豪傑都有機會來試試。你覺得你如果直接開放，能擋得住嗎？
• 也有人開放遠端後，經過好久都覺得沒事，以為很安全。可是這是真的嗎？駭客是很聰明的，從一些資安事件來看，駭客潛伏侵入系統都經過好長時間才動手的。

所以若要開放遠端，需慎重考量安全性，如：

• 密碼複雜度
• 系統要有適當保護，比如密碼錯幾次就會鎖住。
• 一定要導入 MFA 多因素驗證，除了密碼之外，再多一項的驗證。
• 最小開放原則，只開放必要遠端工作的功能遠端。

以上這些風險你都了解後，才能考慮進行 WFH 遠端工作的相當規劃。

WFH 需使用哪些資源

這個也是要進行 WFH 很重要考量的地方。

首先，就技術面、原始設計理念來看，大致可以分為三類：

A 類：Internet-facing services，面向 Internet 設計的服務。

• 比如：Web 應用程式、E-Mail，這個本身設計就是在 Internet 中使用，
• 這類服務的本身就是 Internet 友善，所以要 WFH 本身就相對容易。

B 類：Intra-net Service：

• 這是一種使用 Internet 技術來設計 面向公司內部 (Internal-facing services) 的服務，以前也稱 Intra-net Service。
• 近一二十年，許多公司在設計公司內部系統時，會設計成 Web 應用程式。
• 有些 Windows APP 採用 Web API Base、或是三層式架構的應用程式。也歸屬這一類別。
• 這類型服務要進行 WFH ，本身已是 Internet 友善，所以要 WFH 本身就相對容易。

C類：傳統應用程式、服務：

• 傳統 公司內網路版應用程式，或是 Client/Service 應用程式，則屬於這一類。
• 傳統的 檔案總管 也歸屬這一類， ( 但像是 OneDrive 這種設計則是 Internet 友善的 File Shares。)
• 這類程式，要透通 Internet 本身比較困難。但，也有些設計得宜的 Client/Service 應用程式可能可以透通 Internet。

技術上的考量，主要就是 是否 Internet 存取友善，因應是否 Internet 存取友善，則會採取不同的遠端連線方式。

除了技術上的考量外，接下來則須逐一的列表：每個人要進行 WFH 的服務有哪些，及這些服務是否 Internet 存取友善。

這裡的 Internet 存取友善 ，只是技術評估，並非直接採取開放 Internet 存取。

💡 Internet 上，只有 帳號＋密碼 並不夠安全，需要搭配 MFA 多因素驗證才放心。

如何遠端

如何進行 WFH 遠端，主要考量 存取技術之外，還有就是方法本身，摘整常見的方法，如下：

1. 直接在 Internet 上存取。

• 有些公司設計的服務，已經充分考量 Internet 直接 WFH。這樣就可以直接 Internet 存取。
• 這對 WFH 工作者是最方便的。
• 這只能針對 A 類應用程式/服務。
• 這類服務通常使用 帳號、密碼 進行身分驗證，單只使用帳號、密碼的安全性不足，需要再搭配 MFA 多因素驗證。

2. 透過 VPN 虛擬成內部網路。

• 透過 VPN 連線軟體，可以連進公司內部，連進去之後會被視為公司內網，只是速度比較慢。
• VPN 通常也使用 帳號、密碼 進行身分驗證，單只使用帳號、密碼的安全性不足，需要再搭配 MFA 多因素驗證。
• 這可適用 B 類應用程式/服務。
• 部分 C 類應用程式，可能也適用，但得進行測試來驗證之。

3. 使用 遠端桌面/遠端連線 程式。

• C 類應用程式，需使用此方法。
• 重視安全性的系統，需先經過 VPN 之後，再進行 遠端桌面連線。

VPN

大家常聽到 VPN，這部分筆者詳細介紹一下：

VPN（Virtual Private Network，虛擬私有網路）是把「外部裝置」虛擬的拉進公司內網的安全通道。對 WFH 來說，VPN 就像一張「虛擬門禁卡」：通過驗證後，你的筆電會被視為在公司裡，能存取內網資源（B 類，部分 C 類也可嘗試）。

常見型態

• 遠端存取 VPN（Remote Access）：同仁安裝 VPN Client 端軟體連回公司。這個最常用。

• 點對點連線（Site-to-Site）：分公司或雲端 VPC 與總公司間長期打通，這個通常需兩端都有固定 IP 才安全。

• VPN 通訊協定方式

  • SSL VPN：建立在 SSL 443 Port 的基礎上，比較不會被中途的防火牆阻擋，所以穿防火牆能力佳。
  • IKEv2/IPsec：成熟、穩定、跨平台；常用於 Always-On 的連線需求。
  • 另，PPTP/L2TP 已過時，不建議使用。

中小企業建議方式：

1. 選型：SSL VPN 或 IKEv2，需支援 MFA、裝置有適當健康檢查。
2. 網段：建議由 網路工程師規劃之，規劃一段不與家用路由器衝突的 VPN 的 IP 網段。
3. 安全規定：強制 MFA 多因素驗證、並禁止簡單密碼。
4. 替代路徑：老舊 C 類系統優先用「VPN＋遠端桌面」。

💡 小叮嚀：千萬不要把 RDP 3389 Port 直接對外，即使改了 Port 編號也不適合。若需臨時連線，請走 VPN 並加 MFA。

遠端桌面/遠端連線程式

遠端桌面/遠端連線特性

• 遠端桌面/遠端連線，使用起來，就像把你辦公室的電腦，螢幕鍵盤滑鼠，無限延伸到公司外面，所以可以像是你在公司那樣使用公司內的各項應用程式/服務。
• 根據 防火牆透通特性，又分為兩大類別：
  • 只能 VPN 或需 防火牆開 Port：像是 Windows 內建的 遠端桌面連線、VNC ... 即屬於這一類。
  • 雲端轉穿透：方便透通防火牆，像是 Anydesk , Teamviewer ...

常見遠端桌面／遠端連線程式介紹

1) 傳統協定（建議搭配 VPN 使用）

• Microsoft Remote Desktop 遠端桌面連線 / RDP（3389/TCP）
  • 平台：Windows 內建。
  • 特色：使用者體驗比較成熟、支援剪貼簿/印表機/磁碟連接。
  • 應用方式：連回辦公室 PC、也可以建置 Windows Server 專門的機器讓多數使用者從遠端連線進來。
  • 安全考量：若透通 Intternet 則 3389 會直接曝光，容易被侵入；建議要走 VPN 連線。

💡 RDP Port 不直接在 Internet 曝 (改 Port 也不行喔)，這不僅是建議，是常識。

• VNC（RealVNC、TightVNC、UltraVNC…）

  • 平台：跨 Windows/macOS/Linux。
  • 特色：像「搬畫面」的通用協定，佔用頻寬較高。
  • 應用方式：混合 OS 的簡單遠控、救援。
  • 安全考量：務必啟用加密／強密碼，最好走 VPN；管理白名單。

• SSH（＋X11/Port Forward/隧道）

  • 平台：Linux/Unix/網路設備。
  • 特色：命令列維運、可轉發 RDP/VNC。
  • 應用方式：伺服器維護、堡壘機跳板。
  • 安全考量：金鑰登入、停用密碼、Fail2ban、稽核日誌。

2) 雲端轉穿透（NAT 友善、免開埠）

• TeamViewer
  特色：成熟、穿透力強、支援非看守端喚醒、檔案傳輸。
  應用方式：IT 支援、臨時救援、中小企業遠控。

• AnyDesk
  特色：低延遲、效能佳、可自架中繼（企業版），可設定為遠端值守。
  應用方式：遠端控制辦公室主機、設計師遠端操作。

• Chrome Remote Desktop（CRD）
  特色：免費、部署簡單、Google 帳號整合。
  應用方式：小團隊 WFH 入門、臨時連回自己的電腦。
  侷限：功能較輕量、權限／稽核較基本。

• 雲端轉穿透：因使用第三方軟體，有某種安全隱憂，若僅靠帳號密碼，則非常不安全，在稍具規模的企業，防火牆往往會封鎖：禁止 User 使用這類雲端轉穿透連線，以免無意間創造讓駭客有機可乘的機會。

取捨原則：C 類老系統只能採用「VPN＋遠端桌面」；
若因為防火牆開埠被網管人員限制，那就只好選用 雲端轉穿透，因為一般使用者自己就可以開放；
資料敏感或合規要求高的，則務必採用 VPN。

情境方案

小結

遠端工作不僅只是把內網延伸到遠端工作，更需考量把該用的資源用對的通道、配足的安全 再送到使用者手上。

中小企業在疫情期間，往往急就章，開個 Anydesk 就開始遠端工作了，殊不知這樣的安全很低，也有人以為密碼很難猜，而大方使用。

沒有發現問題，並不代表安全，以以往資安事件來分析，駭客往往潛伏一段期間才行動。不可不慎。

給中小企業的建議：建議沒有完善考量之前，還是不要開放 WFH 為佳。

💡 先分類、後通道、最後補安全 —— 把風險降到可控，WFH 才能長久穩定。