越來越明顯的安全問題
在原始的辦公環(huán)境中��,大家主要在辦公室內(nèi)交流協(xié)作����,有些外出人員會用VPN接入企業(yè)內(nèi)網(wǎng),但好在管理IT的是企業(yè)內(nèi)部人員���。
而隨著時代進(jìn)步�,企業(yè)發(fā)現(xiàn)需要不斷跟外部人員接觸�,比如企業(yè)的合作伙伴����、企業(yè)的供應(yīng)商等,總之�����,需要跟企業(yè)數(shù)據(jù)做對接的人變多了�。不僅如此,能連接到企業(yè)內(nèi)部數(shù)據(jù)的設(shè)備也越來越多,比如平板�、手機(jī)、個人電腦等����。
企業(yè)的IT基礎(chǔ)設(shè)施也在變化,以前是絕對將數(shù)據(jù)與應(yīng)用放在企業(yè)本地?cái)?shù)據(jù)中心��;而隨著云計(jì)算的興起����,一些企業(yè)開始將部分應(yīng)用和數(shù)據(jù)放到云上,大多數(shù)時候��,企業(yè)都是混合云的環(huán)境����,混合云有其便利性,同時也有復(fù)雜性��,帶來管理和維護(hù)上的挑戰(zhàn)���。
從黑客的視角看復(fù)雜度的變化�����,企業(yè)暴露出來的可攻擊面比以前就大多了�����。黑客隨便選一種設(shè)備冒充正常訪問���,就可輕而易舉地進(jìn)入云上或云下的數(shù)據(jù)中心進(jìn)行破壞�。
從員工的角度而言�,一些原本正常的操作也可能會帶來數(shù)據(jù)泄露、或者引入惡意程序����,無意間的行為也可能會帶來安全問題。
這些都暴露出了VPN在安全方面的短板����,究其根本,在于單純依靠防火墻的防護(hù)策略有問題�。
VPN與防火墻配合進(jìn)行訪問權(quán)限管理本沒有問題�����,但是架不住工作量大��。當(dāng)場景越來越多,環(huán)境越來越復(fù)雜����,防火墻規(guī)則越來越多,管理效率就會非常低���,任何不及時或不正確的管理設(shè)定都存在問題——該取消權(quán)限的訪問若未被取消����,便可能會引發(fā)安全問題��,而該授予權(quán)限的訪問得不到權(quán)限便會破壞使用體驗(yàn)��。
Akamai的解決方案
既然VPN問題這么多���,那不用VPN不就好了嗎�?然而�����,馬俊表示���,目前大部分企業(yè)采用的正是VPN架構(gòu)�。對于這些問題,Akamai提出了五方面的考慮:訪問的安全性�����、網(wǎng)絡(luò)的安全性���、訪問審計(jì)的安全性�����、管理的易用性以及運(yùn)維成本的支出�����。
技術(shù)實(shí)現(xiàn)上����,Akamai的思路是這樣的:
在企業(yè)端�,首先在企業(yè)數(shù)據(jù)中心和云數(shù)據(jù)中心(VPC)里設(shè)置一個叫“EAA”連接器的東西,它設(shè)置在數(shù)據(jù)中心防火墻后面�����。
在用戶端����,用戶連接Akamai的認(rèn)證安全SaaS服務(wù),經(jīng)過認(rèn)證后��,安全認(rèn)證服務(wù)以加密的方式連接到企業(yè)數(shù)據(jù)中心��。
有這套方案之后����,企業(yè)就不用配置防火墻規(guī)則,也不需要專業(yè)的VPN設(shè)備��。
原來復(fù)雜的管理工作轉(zhuǎn)到了Akamai的云上后�,用戶便不會直接連到企業(yè)的數(shù)據(jù)中心,而是經(jīng)過Akamai提供的云上門戶——這個門戶就是Akamai的智能邊緣云��,透過這個云上門戶���,企業(yè)能對所有權(quán)限進(jìn)行集中管理��,甄別每次訪問是不是可信的��、是不是符合權(quán)限����。
云上門戶的優(yōu)勢
Akamai將原本企業(yè)數(shù)據(jù)中心里的東西映射到一個外部的門戶,云上門戶的優(yōu)勢就非常明顯了:可以用各種現(xiàn)代化的技術(shù)提升使用體驗(yàn)�����。具體可以總結(jié)為五個方面:應(yīng)用管理���、現(xiàn)代化的身份認(rèn)證��、平臺內(nèi)嵌的安全能力�、可見的管理能力以及成本優(yōu)勢�。
以應(yīng)用為單位進(jìn)行管理:企業(yè)可以控制應(yīng)用的訪問,決定將哪些應(yīng)用放在云上門戶����,哪些東西留在原地。此外�����,企業(yè)也能在門戶上配置角色和訪問權(quán)限��,以應(yīng)用為單位進(jìn)行授權(quán)管理��。例如���,讓人事部門訪問人事工作相關(guān)數(shù)據(jù)���,讓財(cái)務(wù)人員只使用自己財(cái)務(wù)相關(guān)的數(shù)據(jù)。
現(xiàn)代化的認(rèn)證服務(wù):云上門戶能給企業(yè)類似互聯(lián)網(wǎng)應(yīng)用的體驗(yàn)��。就像登錄應(yīng)用需要掃二維碼或收驗(yàn)證碼一樣�,云上門戶能進(jìn)行多種形式的身份認(rèn)證服務(wù),除了掃碼和收驗(yàn)證碼��,還能用現(xiàn)代化的認(rèn)證器進(jìn)行身份驗(yàn)證���,以非?����,F(xiàn)代化的方式進(jìn)行多重身份驗(yàn)證���,同時又有不錯的使用體驗(yàn)。
安全能力集成:當(dāng)用戶只能通過云上門戶來訪問企業(yè)數(shù)據(jù)中心時����,黑客能看到的也只是這個門戶。這個門戶由Akamai備受業(yè)界認(rèn)可的安全能力來把關(guān)��,能防黑客、抗DDoS和網(wǎng)絡(luò)爬蟲�。可以說“想攻入用戶數(shù)據(jù)中心先得拿下Akamai的云平臺”�����。
便捷的管理:云上門戶作為一個集中式的大管家�,記錄了所有的訪問記錄,可以滿足審計(jì)需要���。而整個服務(wù)作為一個SaaS�,無論是管理還是使用都非常便捷���,可以用各種終端進(jìn)行訪問和設(shè)置���。
最后一點(diǎn)是成本優(yōu)勢,作為一個SaaS服務(wù)����,企業(yè)只需按需付費(fèi)即可,與原來需要VPN設(shè)備的方案相比����,采購成本以及安裝部署運(yùn)維成本差別非常大�,擴(kuò)展性方面更是沒法比��,Akamai的方案非常靈活��。
結(jié)語
3月末���、4月初的北京尚未脫離疫情的影響,在家辦公仍是主流����。Akamai的方案非常有實(shí)際應(yīng)用價值,它能非?����?焖俚亟桓堵涞?��。此外��,該方案在保證用戶體驗(yàn)安全的同時����,還能降低成本、簡化管理���,各種體驗(yàn)與企業(yè)舊有方案相比有明顯提升��。
