大疫當(dāng)前�,從國家規(guī)定到各個單位的實際情況,越來越多的用戶選擇讓單位人員SOHO辦公��。這幾日,不少用戶單位爆發(fā)了多達千人規(guī)模的在線辦公需求��。與現(xiàn)在大行其道的“釘釘”等公有云辦公場景不同��,這些用戶更多的是要接入本單位本身的內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)�。由于企業(yè)級應(yīng)用會根據(jù)用戶自身的業(yè)務(wù)場景進行深度結(jié)合,對辦公����、生產(chǎn)等系統(tǒng)有實時接入的需求,并且考慮到更多的并發(fā)性能要求����、數(shù)據(jù)安全要求,故在現(xiàn)有的網(wǎng)絡(luò)環(huán)境下,通過什么樣的技術(shù)手段可以安全�、高效的完成遠程接入、業(yè)務(wù)處理��,甚至信息系統(tǒng)運維的種種工作����,成了必須直面的當(dāng)務(wù)之急。
下面�,我們就結(jié)合多年的實踐經(jīng)驗以及目前市場上一些主流技術(shù)做個淺析:
(一)VPN解決方案(IPSec)
VPN技術(shù)的全名是Virtual Private Network 虛擬專用網(wǎng)絡(luò),它的原理是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)���,進行加密通訊����。這種技術(shù)從誕生起20多年來����,在企業(yè)網(wǎng)絡(luò)中已經(jīng)得到廣泛應(yīng)用。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉(zhuǎn)換���,實現(xiàn)遠程訪問���,可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進行安全傳輸?shù)?。企業(yè)可以自建VPN服務(wù)器�,也可以通過集成設(shè)備(如路由器、防火墻����、安全網(wǎng)關(guān)等)部署,遠程人員通過公網(wǎng)IP連接進入企業(yè)內(nèi)網(wǎng)實現(xiàn)訪問和應(yīng)用�����。
這種通用方案的優(yōu)點是技術(shù)成熟����,部署方便����,遠程用戶只要能接入Internet,理論上就可以接入VPN��。傳統(tǒng)意義上的VPN更多的以IPSec VPN為主���。當(dāng)下�,只要客戶有防火墻或安全網(wǎng)關(guān)設(shè)備置于企業(yè)網(wǎng)邊界處����,就可以通過給員工下發(fā)并安裝VPN客戶端���,實現(xiàn)遠程辦公。
(二)VPN的進階版(SSL)
SSL VPN����,指的是使用者利用瀏覽器內(nèi)建的Secure Socket Layer封包處理功能,用戶通過SSL VPN網(wǎng)關(guān)連接到公司內(nèi)部的SSL VPN服務(wù)器�����,然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式����,讓使用者可以在遠程計算機執(zhí)行應(yīng)用程序,讀取公司內(nèi)部的服務(wù)器數(shù)據(jù)����。SSL VPN指采用SSL協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù),它包括:服務(wù)器認證��、客戶認證��、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性�����。問世至今已經(jīng)超過15年的時間,它摒棄了普通版VPN復(fù)雜的操作����,采用網(wǎng)頁版的訪問方式,大大降低了使用者的技術(shù)要求�,適合更多的場景。
綜上所述的兩種VPN模式最大的弊端是不好管理使用人員的應(yīng)用情況�����,也不能保證內(nèi)網(wǎng)的數(shù)據(jù)不被外泄���。員工只要得到授權(quán)就可以接入網(wǎng)內(nèi),但應(yīng)用情況不容易受到監(jiān)控�����。另外���,由于遠程員工個人所在的具體環(huán)境不同���,使得VPN使用的穩(wěn)定性和效果無法得到一致的保障���,用戶的體驗很難做到優(yōu)化。
從安全性上說����,一旦建立的私用通道被黑客攻破,也就將內(nèi)網(wǎng)全部暴露在互聯(lián)網(wǎng)上�����,并且客戶端一旦中毒�����,也很容易傳播至企業(yè)內(nèi)網(wǎng)��。
(三)VDI
VDI 即虛擬化桌面/應(yīng)用技術(shù)(桌面云)
桌面虛擬化是指將計算機的終端系統(tǒng)(也稱作桌面)進行虛擬化���,以達到桌面使用的安全性和靈活性�。遠程用戶可以通過任何設(shè)備�����、在任何地點��、任何時間,通過網(wǎng)絡(luò)訪問屬于個人的桌面系統(tǒng)����。運維人員通過對企業(yè)內(nèi)部的數(shù)據(jù)資源的虛擬化整合和調(diào)配,根據(jù)具體使用權(quán)限和場景實現(xiàn)對每個遠程用戶發(fā)布各自相關(guān)的應(yīng)用界面����。
對于普通用戶來說,可以在不改變自己使用習(xí)慣的情況下��,直接得到單位內(nèi)電腦的終端桌面�����,按原有的模式進行工作���。從這幾天的用戶反饋來看,桌面虛擬化對當(dāng)前突發(fā)疫情��,在毫無準備情況下的應(yīng)急接管�,起到了很好的效果,做到了平滑遷移����。這項技術(shù)的好處是通過一幀一幀屏幕界面?zhèn)鬟f到使用人的眼前��,用戶所有的操作都只是對虛擬化之后發(fā)布出來的圖像進行操作��,而不實際接觸內(nèi)網(wǎng)真實數(shù)據(jù)�����,遠程用戶與數(shù)據(jù)中心之間不發(fā)生實質(zhì)性的數(shù)據(jù)交互��。非常有效的提升了使用的安全性����,同時也大大提升了管理效率��,降低管理成本�����。
VDI技術(shù)也成熟問世多年�,得到廣泛的使用。從本質(zhì)上與基于網(wǎng)絡(luò)層加密技術(shù)建立“隧道”的接入模式區(qū)別開來���。所有的計算都在服務(wù)器端����,對遠程應(yīng)用人員的終端硬件要求很低,甚至對操作系統(tǒng)都沒有限制�。但是由于對數(shù)據(jù)中心計算資源的要求,軟硬件的整體投資不會節(jié)省成本���。而且���,運維人員在調(diào)配后臺計算資源時,需要精通系統(tǒng)�����、數(shù)據(jù)庫�����、存儲�����、網(wǎng)絡(luò)�����、操作系統(tǒng)等多項專業(yè)技能����,為產(chǎn)品的運維增加了難度。
(四)SDP技術(shù)(軟件定義邊界)
Software Defined Perimeter 軟件定義的邊界是由國際云安全聯(lián)盟(CSA)開發(fā)的一種安全框架���,它根據(jù)身份來控制對資源的訪問�����。SDP的基礎(chǔ)理念是ZTNA��。
首先���,讓我們通過有20多年歷史的著名漫畫來介紹零信任網(wǎng)絡(luò)訪問-Zero Trust Network Access的概念。
“在互聯(lián)網(wǎng)上�����,沒人知道你是條狗啊~”
所以SDP技術(shù)的實現(xiàn)原理是�,每個終端在連接服務(wù)器前必須進行驗證,確保每臺設(shè)備都是被允許接入的���,然后SDP控制器端對遠程終端進行業(yè)務(wù)分配�����。遠程用戶在進行各自權(quán)限下的應(yīng)用操作的網(wǎng)絡(luò)請求也是經(jīng)過SSL加密的��。
SDP架構(gòu)隱藏核心網(wǎng)絡(luò)資產(chǎn)與設(shè)施��,使之不直接暴露在互聯(lián)網(wǎng)下���,使得網(wǎng)絡(luò)資產(chǎn)與設(shè)施免受外來安全威脅�����。
聯(lián)軟科技于2019年下半年發(fā)布的 UNI SDP產(chǎn)品線的架構(gòu)�����。
通過<身份認證中心-終端管理中心-數(shù)據(jù)防護中心>三位一體聯(lián)動的概念���,有效幫助用戶實現(xiàn)安全可控的遠程訪問。
相比傳統(tǒng)網(wǎng)絡(luò)解決方案不同的是:VPN的方式在建立了加密通道以后���,遠端用戶即可獲取內(nèi)網(wǎng)地址�,而SDP只針對用戶授權(quán)發(fā)布相關(guān)應(yīng)用��,同時做SSO(統(tǒng)一身份認證)����,此時遠端用戶并不會獲得內(nèi)網(wǎng)地址,減少了內(nèi)網(wǎng)遭受攻擊���、病毒傳染等風(fēng)險����。同時數(shù)據(jù)中心通過應(yīng)用專用網(wǎng)關(guān)����,發(fā)布相關(guān)應(yīng)用給遠程客戶端,并針對客戶端進行強管控�����,客戶端只能操作有對應(yīng)權(quán)限的應(yīng)用���,獲得有限的數(shù)據(jù)權(quán)限�����。在管理上同時兼容各種移動終端�����,并通過沙箱的保護技術(shù)實現(xiàn)數(shù)據(jù)文件的安全以及隱患文件的隔離�。由于對應(yīng)用使用的嚴格限制,也可以做到事后的行為審計����,也是對數(shù)據(jù)安全很好的補充。
在數(shù)據(jù)中心云化以及SDN(軟件定義網(wǎng)絡(luò))的大趨勢下����,SDP的技術(shù)能更好、更安全的實現(xiàn)遠程用戶對應(yīng)用的訪問�����,也最大程度確保數(shù)據(jù)中心的健康��。
(五)橫向比較
通過多個維度結(jié)合多年實際操作經(jīng)驗���,我們對以上幾種技術(shù)做了總結(jié):
注:不代表廠商觀點( ^_^ )
(六)后記
目前�����,全國人民都在奮力抵抗疫情���,在家辦公是對社會最好的貢獻�����,也是對自己最大的負責(zé)。
在整理這篇文章的同時����,筆者也不時聯(lián)想到,目前網(wǎng)絡(luò)病毒肆虐����,各種攻擊手段日新月異,越發(fā)嚴峻的網(wǎng)絡(luò)安全大形勢���,似乎跟當(dāng)下高風(fēng)險的傳染疫情也有異曲同工����,防范稍有不慎就容易鑄成大錯�。然而,在做出了嚴格的層層防護之后���,不僅各種便利隨之失去��,工作效率�����、生活品質(zhì)也大打了折扣���?�?傊?���,從哪個角度選擇什么樣的技術(shù)和產(chǎn)品�����,都有現(xiàn)行條件的制約和成本回報等等的各種考慮�����。我們要做的是進行多維度的探究和分析����,做出決策和行動。
以上解決方案普惠數(shù)碼科技的技術(shù)專家已經(jīng)能夠全面支撐并擁有多年的實戰(zhàn)經(jīng)驗,可以迅速幫客戶第一時間做好部署和調(diào)試���。也非常感謝以上合作廠商�����,在當(dāng)前各種困難的形式下���,均提供臨時免費版本license供客戶使用��,以便客戶平安�、高效度過疫情。我們也相信����,隨著時代的發(fā)展,技術(shù)手段的成熟����,即使沒有了病魔的肆虐,多協(xié)作的遠距離高效辦公場景也將越來越得到普及��。
最后祝大家身體健康����,工作順利���。祝明天會更好~
