大疫當前,從國家規(guī)定到各個單位的實際情況,越來越多的用戶選擇讓單位人員SOHO辦公��。這幾日��,不少用戶單位爆發(fā)了多達千人規(guī)模的在線辦公需求����。與現(xiàn)在大行其道的“釘釘”等公有云辦公場景不同,這些用戶更多的是要接入本單位本身的內部網絡和信息系統(tǒng)��。由于企業(yè)級應用會根據(jù)用戶自身的業(yè)務場景進行深度結合����,對辦公、生產等系統(tǒng)有實時接入的需求����,并且考慮到更多的并發(fā)性能要求、數(shù)據(jù)安全要求�,故在現(xiàn)有的網絡環(huán)境下,通過什么樣的技術手段可以安全��、高效的完成遠程接入、業(yè)務處理�����,甚至信息系統(tǒng)運維的種種工作����,成了必須直面的當務之急。
下面�,我們就結合多年的實踐經驗以及目前市場上一些主流技術做個淺析:
(一)VPN解決方案(IPSec)
VPN技術的全名是Virtual Private Network 虛擬專用網絡,它的原理是在公用網絡上建立專用網絡�����,進行加密通訊�。這種技術從誕生起20多年來,在企業(yè)網絡中已經得到廣泛應用��。VPN網關通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉換����,實現(xiàn)遠程訪問,可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進行安全傳輸?shù)?���。企業(yè)可以自建VPN服務器,也可以通過集成設備(如路由器��、防火墻����、安全網關等)部署,遠程人員通過公網IP連接進入企業(yè)內網實現(xiàn)訪問和應用���。
這種通用方案的優(yōu)點是技術成熟��,部署方便��,遠程用戶只要能接入Internet�����,理論上就可以接入VPN�����。傳統(tǒng)意義上的VPN更多的以IPSec VPN為主����。當下���,只要客戶有防火墻或安全網關設備置于企業(yè)網邊界處��,就可以通過給員工下發(fā)并安裝VPN客戶端���,實現(xiàn)遠程辦公�。
(二)VPN的進階版(SSL)
SSL VPN���,指的是使用者利用瀏覽器內建的Secure Socket Layer封包處理功能��,用戶通過SSL VPN網關連接到公司內部的SSL VPN服務器���,然后透過網絡封包轉向的方式,讓使用者可以在遠程計算機執(zhí)行應用程序�����,讀取公司內部的服務器數(shù)據(jù)��。SSL VPN指采用SSL協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術����,它包括:服務器認證、客戶認證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性�。問世至今已經超過15年的時間,它摒棄了普通版VPN復雜的操作��,采用網頁版的訪問方式�����,大大降低了使用者的技術要求���,適合更多的場景���。
綜上所述的兩種VPN模式最大的弊端是不好管理使用人員的應用情況,也不能保證內網的數(shù)據(jù)不被外泄��。員工只要得到授權就可以接入網內����,但應用情況不容易受到監(jiān)控。另外���,由于遠程員工個人所在的具體環(huán)境不同�����,使得VPN使用的穩(wěn)定性和效果無法得到一致的保障�����,用戶的體驗很難做到優(yōu)化����。
從安全性上說,一旦建立的私用通道被黑客攻破�����,也就將內網全部暴露在互聯(lián)網上��,并且客戶端一旦中毒����,也很容易傳播至企業(yè)內網。
(三)VDI
VDI 即虛擬化桌面/應用技術(桌面云)
桌面虛擬化是指將計算機的終端系統(tǒng)(也稱作桌面)進行虛擬化����,以達到桌面使用的安全性和靈活性。遠程用戶可以通過任何設備�����、在任何地點、任何時間����,通過網絡訪問屬于個人的桌面系統(tǒng)。運維人員通過對企業(yè)內部的數(shù)據(jù)資源的虛擬化整合和調配�,根據(jù)具體使用權限和場景實現(xiàn)對每個遠程用戶發(fā)布各自相關的應用界面。
對于普通用戶來說��,可以在不改變自己使用習慣的情況下��,直接得到單位內電腦的終端桌面���,按原有的模式進行工作。從這幾天的用戶反饋來看�,桌面虛擬化對當前突發(fā)疫情,在毫無準備情況下的應急接管��,起到了很好的效果���,做到了平滑遷移�。這項技術的好處是通過一幀一幀屏幕界面?zhèn)鬟f到使用人的眼前�����,用戶所有的操作都只是對虛擬化之后發(fā)布出來的圖像進行操作,而不實際接觸內網真實數(shù)據(jù)�,遠程用戶與數(shù)據(jù)中心之間不發(fā)生實質性的數(shù)據(jù)交互。非常有效的提升了使用的安全性����,同時也大大提升了管理效率,降低管理成本���。
VDI技術也成熟問世多年�����,得到廣泛的使用��。從本質上與基于網絡層加密技術建立“隧道”的接入模式區(qū)別開來�。所有的計算都在服務器端�����,對遠程應用人員的終端硬件要求很低�,甚至對操作系統(tǒng)都沒有限制。但是由于對數(shù)據(jù)中心計算資源的要求��,軟硬件的整體投資不會節(jié)省成本�。而且��,運維人員在調配后臺計算資源時���,需要精通系統(tǒng)、數(shù)據(jù)庫���、存儲�、網絡�、操作系統(tǒng)等多項專業(yè)技能,為產品的運維增加了難度���。
(四)SDP技術(軟件定義邊界)
Software Defined Perimeter 軟件定義的邊界是由國際云安全聯(lián)盟(CSA)開發(fā)的一種安全框架,它根據(jù)身份來控制對資源的訪問�。SDP的基礎理念是ZTNA。
首先�,讓我們通過有20多年歷史的著名漫畫來介紹零信任網絡訪問-Zero Trust Network Access的概念。
“在互聯(lián)網上���,沒人知道你是條狗啊~”
所以SDP技術的實現(xiàn)原理是�����,每個終端在連接服務器前必須進行驗證���,確保每臺設備都是被允許接入的����,然后SDP控制器端對遠程終端進行業(yè)務分配���。遠程用戶在進行各自權限下的應用操作的網絡請求也是經過SSL加密的�。
SDP架構隱藏核心網絡資產與設施�����,使之不直接暴露在互聯(lián)網下��,使得網絡資產與設施免受外來安全威脅��。
聯(lián)軟科技于2019年下半年發(fā)布的 UNI SDP產品線的架構�����。
通過<身份認證中心-終端管理中心-數(shù)據(jù)防護中心>三位一體聯(lián)動的概念����,有效幫助用戶實現(xiàn)安全可控的遠程訪問。
相比傳統(tǒng)網絡解決方案不同的是:VPN的方式在建立了加密通道以后�����,遠端用戶即可獲取內網地址,而SDP只針對用戶授權發(fā)布相關應用����,同時做SSO(統(tǒng)一身份認證),此時遠端用戶并不會獲得內網地址�,減少了內網遭受攻擊、病毒傳染等風險����。同時數(shù)據(jù)中心通過應用專用網關,發(fā)布相關應用給遠程客戶端��,并針對客戶端進行強管控���,客戶端只能操作有對應權限的應用,獲得有限的數(shù)據(jù)權限���。在管理上同時兼容各種移動終端���,并通過沙箱的保護技術實現(xiàn)數(shù)據(jù)文件的安全以及隱患文件的隔離。由于對應用使用的嚴格限制�����,也可以做到事后的行為審計,也是對數(shù)據(jù)安全很好的補充��。
在數(shù)據(jù)中心云化以及SDN(軟件定義網絡)的大趨勢下�����,SDP的技術能更好��、更安全的實現(xiàn)遠程用戶對應用的訪問��,也最大程度確保數(shù)據(jù)中心的健康���。
(五)橫向比較
通過多個維度結合多年實際操作經驗����,我們對以上幾種技術做了總結:
注:不代表廠商觀點( ^_^ )
(六)后記
目前����,全國人民都在奮力抵抗疫情,在家辦公是對社會最好的貢獻�����,也是對自己最大的負責。
在整理這篇文章的同時�,筆者也不時聯(lián)想到,目前網絡病毒肆虐��,各種攻擊手段日新月異�����,越發(fā)嚴峻的網絡安全大形勢���,似乎跟當下高風險的傳染疫情也有異曲同工�,防范稍有不慎就容易鑄成大錯�����。然而��,在做出了嚴格的層層防護之后�����,不僅各種便利隨之失去�,工作效率����、生活品質也大打了折扣���。總之����,從哪個角度選擇什么樣的技術和產品,都有現(xiàn)行條件的制約和成本回報等等的各種考慮�。我們要做的是進行多維度的探究和分析,做出決策和行動�����。
以上解決方案普惠數(shù)碼科技的技術專家已經能夠全面支撐并擁有多年的實戰(zhàn)經驗��,可以迅速幫客戶第一時間做好部署和調試��。也非常感謝以上合作廠商����,在當前各種困難的形式下,均提供臨時免費版本license供客戶使用�����,以便客戶平安、高效度過疫情����。我們也相信,隨著時代的發(fā)展�����,技術手段的成熟��,即使沒有了病魔的肆虐��,多協(xié)作的遠距離高效辦公場景也將越來越得到普及�。
最后祝大家身體健康,工作順利��。祝明天會更好~
