如今,越来越多的员工逐渐习惯使用手机、平板电脑等个人设备,通过4G和5G网络进行收发邮件、处理工作流程,访问企业资源;使用笔记本电脑,通过公共WiFi连接到公司网络进行远程办公。
根据“全球职场分析”和FlexJobs公司报告,远程办公人员的数量在过去十年中增长了115%。然而与此同时,员工对企业内部网络资源的远程访问也增加了企业网络的脆弱性,产生众多安全隐患。
本文云深互联将通过传统远程访问方式的对比情况、场景案例,详解软件定义边界(SDP)在远程访问中为企业带来的强大优势。
远程访问常见方式
向业务人员提供应用系统的安全远程访问有三种常见方式:直接连接、VPN和VDI。
(1) 直接连接:在直接访问的情况下,应用系统通常是一个Web应用程序,配置到公共互联网环境下,不考虑访问限制。在这些情况下,应用系统暴露于各种安全威胁下,极易受到各种形式的攻击,包括暴力破解,DDoS,XSS和任何TLS漏洞(如心脏出血漏洞Heartbleed或贵宾犬漏洞Poodle)。
(2) VPN:通过VPN,内网及其所有的资源都将对该业务人员的设备开放。
(3) VDI:通过VDI,业务人员可以操作虚拟计算机(通常是Windows操作系统),这个虚拟机可以用作企业应用系统的启动平台。业务应用系统通常是一个需要“厚Windows客户端”(较多在客户端及服务器端的运算,较少的通信链接)的客户端/服务器应用程序。
使用SDP访问
通过SDP解决方案,只有授权用户才能访问业务应用系统。实际上,未经授权的用户甚至无法访问SDP网关 ——在SDP模型中有一个重要概念,即单包授权(Single Packet Authorization, SPA)技术。所有访问业务系统之前都需要发一个SPA包,该包内含有用户身份、访问token、时间戳、超时时间等数据,网关只有接收客户端发来的第一个带身份信息的包,服务器验证通过后,才会允许建立用户与应用之间的连接。
也正因为应用受到单包授权SPA的保护,所以对攻击者来说实际上是完全不可见。
以下为不同的用户的访问需求,以及如何管理这种访问:
案例一
需求:Grace在公司总部的销售部门工作。日常工作中,她需要通过由IT团队开发的新销售报告系统访问重点客户销售报告。由于经常拜访不同地方的客户,需要远程运行报告,且该应用系统托管在Amazon AWS上。
挑战:Grace在出差期间在机场和咖啡店访问多个免费网络。过去,IT安全部门发现了她的笔记本电脑上的恶意软件,他们担心当Grace通过VPN访问新的重点客户销售报告或返回公司总部时,恶意软件可能会传播到AWS基础架构中。
案例二
需求:Dave负责IT部门的供应链应用系统。新的业务流程要求其供应商员工Jim在货物发运后立即在其供应链应用系统中输入货件的详细信息。
挑战:这需要授予第三方供应商的一部分人员对应用系统的访问权限,这些业务人员(例如Jim)不是公司的员工,而Dave对其安全策略及安全培训等方面的控制是有限的。Dave不希望授予他们进入公司内网的广泛网络访问权限(VPN),他担心如果供应商端的账号被盗,他的整个公司网络将会受到伤害。他该如何限制“爆炸半径”?
案例三
需求:Jim每周都会准备一份业务分析报告,生成报告的是一个只能在Windows系统上运行的客户端/服务器(C/S)应用程序。所以IT部门为Jim和他的团队部署了一个VDI解决方案。Jim每次需要通过VDI登录远程桌面,然后启动报告程序。
挑战:这个(C/S)报告程序是从一个大型供应商处购买的打包的应用程序。建议的部署模式仅是“自有”,即供应商建议不要通过公共互联网访问应用程序的服务端,因为其并不稳定/安全。也就是说,服务器必须与客户端在同一网络内。
因此,对于远程用户,IT安全团队决定使用VDI,其中客户端和服务器始终保持在同一网络中。但是,构建和维护VDI服务器的成本非常高,并且会随着远程/出差雇员数量的增加而增加。
组织面临的挑战是如何安全地开放(C/S)应用程序的服务器部分,以便业务用户可以直接在他们自己的Windows笔记本电脑上运行客户端。
总结
在这个使用场景中,SDP为企业提供了强大的优势:
○为远程业务用户提供安全访问企业应用的途径;
○精确控制用户可以访问的应用程序;
○增加第三方业务集成;
○更简单的合规报告;
○降低VDI相关基础设施成本;
○更简单的安全策略配置;
○提高业务流程的生产效率。