云深互聯(lián)：為什么SDP更適合遠程訪問應用場景？

如今,越來越多的員工逐漸習慣使用手機、平板電腦等個人設備,通過4G和5G網(wǎng)絡進行收發(fā)郵件、處理工作流程,訪問企業(yè)資源;使用筆記本電腦,通過公共WiFi連接到公司網(wǎng)絡進行遠程辦公。

根據(jù)“全球職場分析”和FlexJobs公司報告,遠程辦公人員的數(shù)量在過去十年中增長了115%。然而與此同時,員工對企業(yè)內(nèi)部網(wǎng)絡資源的遠程訪問也增加了企業(yè)網(wǎng)絡的脆弱性,產(chǎn)生眾多安全隱患。

本文云深互聯(lián)將通過傳統(tǒng)遠程訪問方式的對比情況、場景案例,詳解軟件定義邊界(SDP)在遠程訪問中為企業(yè)帶來的強大優(yōu)勢。

遠程訪問常見方式

向業(yè)務人員提供應用系統(tǒng)的安全遠程訪問有三種常見方式:直接連接、VPN和VDI。

(1) 直接連接:在直接訪問的情況下,應用系統(tǒng)通常是一個Web應用程序,配置到公共互聯(lián)網(wǎng)環(huán)境下,不考慮訪問限制。在這些情況下,應用系統(tǒng)暴露于各種安全威脅下,極易受到各種形式的攻擊,包括暴力破解,DDoS,XSS和任何TLS漏洞(如心臟出血漏洞Heartbleed或貴賓犬漏洞Poodle)。

(2) VPN:通過VPN,內(nèi)網(wǎng)及其所有的資源都將對該業(yè)務人員的設備開放。

(3) VDI:通過VDI,業(yè)務人員可以操作虛擬計算機(通常是Windows操作系統(tǒng)),這個虛擬機可以用作企業(yè)應用系統(tǒng)的啟動平臺。業(yè)務應用系統(tǒng)通常是一個需要“厚Windows客戶端”(較多在客戶端及服務器端的運算,較少的通信鏈接)的客戶端/服務器應用程序。

使用SDP訪問

通過SDP解決方案,只有授權用戶才能訪問業(yè)務應用系統(tǒng)。實際上,未經(jīng)授權的用戶甚至無法訪問SDP網(wǎng)關 ——在SDP模型中有一個重要概念,即單包授權(Single Packet Authorization, SPA)技術。所有訪問業(yè)務系統(tǒng)之前都需要發(fā)一個SPA包,該包內(nèi)含有用戶身份、訪問token、時間戳、超時時間等數(shù)據(jù),網(wǎng)關只有接收客戶端發(fā)來的第一個帶身份信息的包,服務器驗證通過后,才會允許建立用戶與應用之間的連接。

也正因為應用受到單包授權SPA的保護,所以對攻擊者來說實際上是完全不可見。

以下為不同的用戶的訪問需求,以及如何管理這種訪問:

案例一

需求:Grace在公司總部的銷售部門工作。日常工作中,她需要通過由IT團隊開發(fā)的新銷售報告系統(tǒng)訪問重點客戶銷售報告。由于經(jīng)常拜訪不同地方的客戶,需要遠程運行報告,且該應用系統(tǒng)托管在Amazon AWS上。

挑戰(zhàn):Grace在出差期間在機場和咖啡店訪問多個免費網(wǎng)絡。過去,IT安全部門發(fā)現(xiàn)了她的筆記本電腦上的惡意軟件,他們擔心當Grace通過VPN訪問新的重點客戶銷售報告或返回公司總部時,惡意軟件可能會傳播到AWS基礎架構中。

案例二

需求:Dave負責IT部門的供應鏈應用系統(tǒng)。新的業(yè)務流程要求其供應商員工Jim在貨物發(fā)運后立即在其供應鏈應用系統(tǒng)中輸入貨件的詳細信息。

挑戰(zhàn):這需要授予第三方供應商的一部分人員對應用系統(tǒng)的訪問權限,這些業(yè)務人員(例如Jim)不是公司的員工,而Dave對其安全策略及安全培訓等方面的控制是有限的。Dave不希望授予他們進入公司內(nèi)網(wǎng)的廣泛網(wǎng)絡訪問權限(VPN),他擔心如果供應商端的賬號被盜,他的整個公司網(wǎng)絡將會受到傷害。他該如何限制“爆炸半徑”?

案例三

需求:Jim每周都會準備一份業(yè)務分析報告,生成報告的是一個只能在Windows系統(tǒng)上運行的客戶端/服務器(C/S)應用程序。所以IT部門為Jim和他的團隊部署了一個VDI解決方案。Jim每次需要通過VDI登錄遠程桌面,然后啟動報告程序。

挑戰(zhàn):這個(C/S)報告程序是從一個大型供應商處購買的打包的應用程序。建議的部署模式僅是“自有”,即供應商建議不要通過公共互聯(lián)網(wǎng)訪問應用程序的服務端,因為其并不穩(wěn)定/安全。也就是說,服務器必須與客戶端在同一網(wǎng)絡內(nèi)。

因此,對于遠程用戶,IT安全團隊決定使用VDI,其中客戶端和服務器始終保持在同一網(wǎng)絡中。但是,構建和維護VDI服務器的成本非常高,并且會隨著遠程/出差雇員數(shù)量的增加而增加。

組織面臨的挑戰(zhàn)是如何安全地開放(C/S)應用程序的服務器部分,以便業(yè)務用戶可以直接在他們自己的Windows筆記本電腦上運行客戶端。

總結

在這個使用場景中,SDP為企業(yè)提供了強大的優(yōu)勢:

○為遠程業(yè)務用戶提供安全訪問企業(yè)應用的途徑;

○精確控制用戶可以訪問的應用程序;

○增加第三方業(yè)務集成;

○更簡單的合規(guī)報告;

○降低VDI相關基礎設施成本;

○更簡單的安全策略配置;

○提高業(yè)務流程的生產(chǎn)效率。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。