云深互联:为什么SDP更适合远程访问应用场景?

如今,越来越多的员工逐渐习惯使用手机、平板电脑等个人设备,通过4G和5G网络进行收发邮件、处理工作流程,访问企业资源;使用笔记本电脑,通过公共WiFi连接到公司网络进行远程办公。

根据“全球职场分析”和FlexJobs公司报告,远程办公人员的数量在过去十年中增长了115%。然而与此同时,员工对企业内部网络资源的远程访问也增加了企业网络的脆弱性,产生众多安全隐患。

本文云深互联将通过传统远程访问方式的对比情况、场景案例,详解软件定义边界(SDP)在远程访问中为企业带来的强大优势。

远程访问常见方式

向业务人员提供应用系统的安全远程访问有三种常见方式:直接连接、VPN和VDI。

(1) 直接连接:在直接访问的情况下,应用系统通常是一个Web应用程序,配置到公共互联网环境下,不考虑访问限制。在这些情况下,应用系统暴露于各种安全威胁下,极易受到各种形式的攻击,包括暴力破解,DDoS,XSS和任何TLS漏洞(如心脏出血漏洞Heartbleed或贵宾犬漏洞Poodle)。

云深互联:为什么SDP更适合远程访问应用场景?

(2) VPN:通过VPN,内网及其所有的资源都将对该业务人员的设备开放。

云深互联:为什么SDP更适合远程访问应用场景?

(3) VDI:通过VDI,业务人员可以操作虚拟计算机(通常是Windows操作系统),这个虚拟机可以用作企业应用系统的启动平台。业务应用系统通常是一个需要“厚Windows客户端”(较多在客户端及服务器端的运算,较少的通信链接)的客户端/服务器应用程序。

云深互联:为什么SDP更适合远程访问应用场景?

使用SDP访问

通过SDP解决方案,只有授权用户才能访问业务应用系统。实际上,未经授权的用户甚至无法访问SDP网关 ——在SDP模型中有一个重要概念,即单包授权(Single Packet Authorization, SPA)技术。所有访问业务系统之前都需要发一个SPA包,该包内含有用户身份、访问token、时间戳、超时时间等数据,网关只有接收客户端发来的第一个带身份信息的包,服务器验证通过后,才会允许建立用户与应用之间的连接。

也正因为应用受到单包授权SPA的保护,所以对攻击者来说实际上是完全不可见。

云深互联:为什么SDP更适合远程访问应用场景?

以下为不同的用户的访问需求,以及如何管理这种访问:

案例一

需求:Grace在公司总部的销售部门工作。日常工作中,她需要通过由IT团队开发的新销售报告系统访问重点客户销售报告。由于经常拜访不同地方的客户,需要远程运行报告,且该应用系统托管在Amazon AWS上。

挑战:Grace在出差期间在机场和咖啡店访问多个免费网络。过去,IT安全部门发现了她的笔记本电脑上的恶意软件,他们担心当Grace通过VPN访问新的重点客户销售报告或返回公司总部时,恶意软件可能会传播到AWS基础架构中。

云深互联:为什么SDP更适合远程访问应用场景?

云深互联:为什么SDP更适合远程访问应用场景?

案例二

需求:Dave负责IT部门的供应链应用系统。新的业务流程要求其供应商员工Jim在货物发运后立即在其供应链应用系统中输入货件的详细信息。

挑战:这需要授予第三方供应商的一部分人员对应用系统的访问权限,这些业务人员(例如Jim)不是公司的员工,而Dave对其安全策略及安全培训等方面的控制是有限的。Dave不希望授予他们进入公司内网的广泛网络访问权限(VPN),他担心如果供应商端的账号被盗,他的整个公司网络将会受到伤害。他该如何限制“爆炸半径”?

云深互联:为什么SDP更适合远程访问应用场景?

云深互联:为什么SDP更适合远程访问应用场景?

案例三

需求:Jim每周都会准备一份业务分析报告,生成报告的是一个只能在Windows系统上运行的客户端/服务器(C/S)应用程序。所以IT部门为Jim和他的团队部署了一个VDI解决方案。Jim每次需要通过VDI登录远程桌面,然后启动报告程序。

挑战:这个(C/S)报告程序是从一个大型供应商处购买的打包的应用程序。建议的部署模式仅是“自有”,即供应商建议不要通过公共互联网访问应用程序的服务端,因为其并不稳定/安全。也就是说,服务器必须与客户端在同一网络内。

因此,对于远程用户,IT安全团队决定使用VDI,其中客户端和服务器始终保持在同一网络中。但是,构建和维护VDI服务器的成本非常高,并且会随着远程/出差雇员数量的增加而增加。

组织面临的挑战是如何安全地开放(C/S)应用程序的服务器部分,以便业务用户可以直接在他们自己的Windows笔记本电脑上运行客户端。

云深互联:为什么SDP更适合远程访问应用场景?

总结

在这个使用场景中,SDP为企业提供了强大的优势:

○为远程业务用户提供安全访问企业应用的途径;

○精确控制用户可以访问的应用程序;

○增加第三方业务集成;

○更简单的合规报告;

○降低VDI相关基础设施成本;

○更简单的安全策略配置;

○提高业务流程的生产效率。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2020-03-10
云深互联:为什么SDP更适合远程访问应用场景?
如今,越来越多的员工逐渐习惯使用手机、平板电脑等个人设备,通过4G和5G网络进行收发邮件、处理工作流程,访问企业资源;使用笔记本电脑,通过公共WiFi连接到公司

长按扫码 阅读全文