如今,越來越多的員工逐漸習(xí)慣使用手機、平板電腦等個人設(shè)備,通過4G和5G網(wǎng)絡(luò)進行收發(fā)郵件、處理工作流程,訪問企業(yè)資源;使用筆記本電腦,通過公共WiFi連接到公司網(wǎng)絡(luò)進行遠(yuǎn)程辦公。

根據(jù)“全球職場分析”和FlexJobs公司報告,遠(yuǎn)程辦公人員的數(shù)量在過去十年中增長了115%。然而與此同時,員工對企業(yè)內(nèi)部網(wǎng)絡(luò)資源的遠(yuǎn)程訪問也增加了企業(yè)網(wǎng)絡(luò)的脆弱性,產(chǎn)生眾多安全隱患。

本文云深互聯(lián)將通過傳統(tǒng)遠(yuǎn)程訪問方式的對比情況、場景案例,詳解軟件定義邊界(SDP)在遠(yuǎn)程訪問中為企業(yè)帶來的強大優(yōu)勢。

遠(yuǎn)程訪問常見方式

向業(yè)務(wù)人員提供應(yīng)用系統(tǒng)的安全遠(yuǎn)程訪問有三種常見方式:直接連接、VPN和VDI。

(1) 直接連接:在直接訪問的情況下,應(yīng)用系統(tǒng)通常是一個Web應(yīng)用程序,配置到公共互聯(lián)網(wǎng)環(huán)境下,不考慮訪問限制。在這些情況下,應(yīng)用系統(tǒng)暴露于各種安全威脅下,極易受到各種形式的攻擊,包括暴力破解,DDoS,XSS和任何TLS漏洞(如心臟出血漏洞Heartbleed或貴賓犬漏洞Poodle)。

(2) VPN:通過VPN,內(nèi)網(wǎng)及其所有的資源都將對該業(yè)務(wù)人員的設(shè)備開放。

(3) VDI:通過VDI,業(yè)務(wù)人員可以操作虛擬計算機(通常是Windows操作系統(tǒng)),這個虛擬機可以用作企業(yè)應(yīng)用系統(tǒng)的啟動平臺。業(yè)務(wù)應(yīng)用系統(tǒng)通常是一個需要“厚Windows客戶端”(較多在客戶端及服務(wù)器端的運算,較少的通信鏈接)的客戶端/服務(wù)器應(yīng)用程序。

使用SDP訪問

通過SDP解決方案,只有授權(quán)用戶才能訪問業(yè)務(wù)應(yīng)用系統(tǒng)。實際上,未經(jīng)授權(quán)的用戶甚至無法訪問SDP網(wǎng)關(guān) ——在SDP模型中有一個重要概念,即單包授權(quán)(Single Packet Authorization, SPA)技術(shù)。所有訪問業(yè)務(wù)系統(tǒng)之前都需要發(fā)一個SPA包,該包內(nèi)含有用戶身份、訪問token、時間戳、超時時間等數(shù)據(jù),網(wǎng)關(guān)只有接收客戶端發(fā)來的第一個帶身份信息的包,服務(wù)器驗證通過后,才會允許建立用戶與應(yīng)用之間的連接。

也正因為應(yīng)用受到單包授權(quán)SPA的保護,所以對攻擊者來說實際上是完全不可見。

以下為不同的用戶的訪問需求,以及如何管理這種訪問:

案例一

需求:Grace在公司總部的銷售部門工作。日常工作中,她需要通過由IT團隊開發(fā)的新銷售報告系統(tǒng)訪問重點客戶銷售報告。由于經(jīng)常拜訪不同地方的客戶,需要遠(yuǎn)程運行報告,且該應(yīng)用系統(tǒng)托管在Amazon AWS上。

挑戰(zhàn):Grace在出差期間在機場和咖啡店訪問多個免費網(wǎng)絡(luò)。過去,IT安全部門發(fā)現(xiàn)了她的筆記本電腦上的惡意軟件,他們擔(dān)心當(dāng)Grace通過VPN訪問新的重點客戶銷售報告或返回公司總部時,惡意軟件可能會傳播到AWS基礎(chǔ)架構(gòu)中。

案例二

需求:Dave負(fù)責(zé)IT部門的供應(yīng)鏈應(yīng)用系統(tǒng)。新的業(yè)務(wù)流程要求其供應(yīng)商員工Jim在貨物發(fā)運后立即在其供應(yīng)鏈應(yīng)用系統(tǒng)中輸入貨件的詳細(xì)信息。

挑戰(zhàn):這需要授予第三方供應(yīng)商的一部分人員對應(yīng)用系統(tǒng)的訪問權(quán)限,這些業(yè)務(wù)人員(例如Jim)不是公司的員工,而Dave對其安全策略及安全培訓(xùn)等方面的控制是有限的。Dave不希望授予他們進入公司內(nèi)網(wǎng)的廣泛網(wǎng)絡(luò)訪問權(quán)限(VPN),他擔(dān)心如果供應(yīng)商端的賬號被盜,他的整個公司網(wǎng)絡(luò)將會受到傷害。他該如何限制“爆炸半徑”?

案例三

需求:Jim每周都會準(zhǔn)備一份業(yè)務(wù)分析報告,生成報告的是一個只能在Windows系統(tǒng)上運行的客戶端/服務(wù)器(C/S)應(yīng)用程序。所以IT部門為Jim和他的團隊部署了一個VDI解決方案。Jim每次需要通過VDI登錄遠(yuǎn)程桌面,然后啟動報告程序。

挑戰(zhàn):這個(C/S)報告程序是從一個大型供應(yīng)商處購買的打包的應(yīng)用程序。建議的部署模式僅是“自有”,即供應(yīng)商建議不要通過公共互聯(lián)網(wǎng)訪問應(yīng)用程序的服務(wù)端,因為其并不穩(wěn)定/安全。也就是說,服務(wù)器必須與客戶端在同一網(wǎng)絡(luò)內(nèi)。

因此,對于遠(yuǎn)程用戶,IT安全團隊決定使用VDI,其中客戶端和服務(wù)器始終保持在同一網(wǎng)絡(luò)中。但是,構(gòu)建和維護VDI服務(wù)器的成本非常高,并且會隨著遠(yuǎn)程/出差雇員數(shù)量的增加而增加。

組織面臨的挑戰(zhàn)是如何安全地開放(C/S)應(yīng)用程序的服務(wù)器部分,以便業(yè)務(wù)用戶可以直接在他們自己的Windows筆記本電腦上運行客戶端。

總結(jié)

在這個使用場景中,SDP為企業(yè)提供了強大的優(yōu)勢:

○為遠(yuǎn)程業(yè)務(wù)用戶提供安全訪問企業(yè)應(yīng)用的途徑;

○精確控制用戶可以訪問的應(yīng)用程序;

○增加第三方業(yè)務(wù)集成;

○更簡單的合規(guī)報告;

○降低VDI相關(guān)基礎(chǔ)設(shè)施成本;

○更簡單的安全策略配置;

○提高業(yè)務(wù)流程的生產(chǎn)效率。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。