越來(lái)越明顯的安全問(wèn)題
在原始的辦公環(huán)境中���,大家主要在辦公室內(nèi)交流協(xié)作���,有些外出人員會(huì)用VPN接入企業(yè)內(nèi)網(wǎng),但好在管理IT的是企業(yè)內(nèi)部人員�。
而隨著時(shí)代進(jìn)步,企業(yè)發(fā)現(xiàn)需要不斷跟外部人員接觸��,比如企業(yè)的合作伙伴��、企業(yè)的供應(yīng)商等�,總之,需要跟企業(yè)數(shù)據(jù)做對(duì)接的人變多了��。不僅如此��,能連接到企業(yè)內(nèi)部數(shù)據(jù)的設(shè)備也越來(lái)越多�����,比如平板�、手機(jī)、個(gè)人電腦等�����。
企業(yè)的IT基礎(chǔ)設(shè)施也在變化,以前是絕對(duì)將數(shù)據(jù)與應(yīng)用放在企業(yè)本地?cái)?shù)據(jù)中心�;而隨著云計(jì)算的興起,一些企業(yè)開(kāi)始將部分應(yīng)用和數(shù)據(jù)放到云上����,大多數(shù)時(shí)候,企業(yè)都是混合云的環(huán)境�,混合云有其便利性��,同時(shí)也有復(fù)雜性���,帶來(lái)管理和維護(hù)上的挑戰(zhàn)�。
從黑客的視角看復(fù)雜度的變化�����,企業(yè)暴露出來(lái)的可攻擊面比以前就大多了�����。黑客隨便選一種設(shè)備冒充正常訪問(wèn)�,就可輕而易舉地進(jìn)入云上或云下的數(shù)據(jù)中心進(jìn)行破壞。
從員工的角度而言��,一些原本正常的操作也可能會(huì)帶來(lái)數(shù)據(jù)泄露、或者引入惡意程序��,無(wú)意間的行為也可能會(huì)帶來(lái)安全問(wèn)題���。
這些都暴露出了VPN在安全方面的短板�,究其根本���,在于單純依靠防火墻的防護(hù)策略有問(wèn)題����。
VPN與防火墻配合進(jìn)行訪問(wèn)權(quán)限管理本沒(méi)有問(wèn)題��,但是架不住工作量大���。當(dāng)場(chǎng)景越來(lái)越多���,環(huán)境越來(lái)越復(fù)雜,防火墻規(guī)則越來(lái)越多����,管理效率就會(huì)非常低,任何不及時(shí)或不正確的管理設(shè)定都存在問(wèn)題——該取消權(quán)限的訪問(wèn)若未被取消����,便可能會(huì)引發(fā)安全問(wèn)題���,而該授予權(quán)限的訪問(wèn)得不到權(quán)限便會(huì)破壞使用體驗(yàn)。
Akamai的解決方案
既然VPN問(wèn)題這么多����,那不用VPN不就好了嗎?然而����,馬俊表示��,目前大部分企業(yè)采用的正是VPN架構(gòu)���。對(duì)于這些問(wèn)題����,Akamai提出了五方面的考慮:訪問(wèn)的安全性���、網(wǎng)絡(luò)的安全性�、訪問(wèn)審計(jì)的安全性����、管理的易用性以及運(yùn)維成本的支出�。
技術(shù)實(shí)現(xiàn)上�����,Akamai的思路是這樣的:
在企業(yè)端����,首先在企業(yè)數(shù)據(jù)中心和云數(shù)據(jù)中心(VPC)里設(shè)置一個(gè)叫“EAA”連接器的東西,它設(shè)置在數(shù)據(jù)中心防火墻后面�����。
在用戶(hù)端��,用戶(hù)連接Akamai的認(rèn)證安全SaaS服務(wù)����,經(jīng)過(guò)認(rèn)證后,安全認(rèn)證服務(wù)以加密的方式連接到企業(yè)數(shù)據(jù)中心��。
有這套方案之后��,企業(yè)就不用配置防火墻規(guī)則,也不需要專(zhuān)業(yè)的VPN設(shè)備�����。
原來(lái)復(fù)雜的管理工作轉(zhuǎn)到了Akamai的云上后�,用戶(hù)便不會(huì)直接連到企業(yè)的數(shù)據(jù)中心,而是經(jīng)過(guò)Akamai提供的云上門(mén)戶(hù)——這個(gè)門(mén)戶(hù)就是Akamai的智能邊緣云�����,透過(guò)這個(gè)云上門(mén)戶(hù)�,企業(yè)能對(duì)所有權(quán)限進(jìn)行集中管理,甄別每次訪問(wèn)是不是可信的�����、是不是符合權(quán)限����。
云上門(mén)戶(hù)的優(yōu)勢(shì)
Akamai將原本企業(yè)數(shù)據(jù)中心里的東西映射到一個(gè)外部的門(mén)戶(hù)�����,云上門(mén)戶(hù)的優(yōu)勢(shì)就非常明顯了:可以用各種現(xiàn)代化的技術(shù)提升使用體驗(yàn)���。具體可以總結(jié)為五個(gè)方面:應(yīng)用管理���、現(xiàn)代化的身份認(rèn)證�、平臺(tái)內(nèi)嵌的安全能力��、可見(jiàn)的管理能力以及成本優(yōu)勢(shì)�����。
以應(yīng)用為單位進(jìn)行管理:企業(yè)可以控制應(yīng)用的訪問(wèn)���,決定將哪些應(yīng)用放在云上門(mén)戶(hù)�����,哪些東西留在原地����。此外���,企業(yè)也能在門(mén)戶(hù)上配置角色和訪問(wèn)權(quán)限�,以應(yīng)用為單位進(jìn)行授權(quán)管理�����。例如,讓人事部門(mén)訪問(wèn)人事工作相關(guān)數(shù)據(jù)�,讓財(cái)務(wù)人員只使用自己財(cái)務(wù)相關(guān)的數(shù)據(jù)。
現(xiàn)代化的認(rèn)證服務(wù):云上門(mén)戶(hù)能給企業(yè)類(lèi)似互聯(lián)網(wǎng)應(yīng)用的體驗(yàn)��。就像登錄應(yīng)用需要掃二維碼或收驗(yàn)證碼一樣�����,云上門(mén)戶(hù)能進(jìn)行多種形式的身份認(rèn)證服務(wù)�,除了掃碼和收驗(yàn)證碼,還能用現(xiàn)代化的認(rèn)證器進(jìn)行身份驗(yàn)證�����,以非?��,F(xiàn)代化的方式進(jìn)行多重身份驗(yàn)證����,同時(shí)又有不錯(cuò)的使用體驗(yàn)�。
安全能力集成:當(dāng)用戶(hù)只能通過(guò)云上門(mén)戶(hù)來(lái)訪問(wèn)企業(yè)數(shù)據(jù)中心時(shí)���,黑客能看到的也只是這個(gè)門(mén)戶(hù)�����。這個(gè)門(mén)戶(hù)由Akamai備受業(yè)界認(rèn)可的安全能力來(lái)把關(guān)�,能防黑客、抗DDoS和網(wǎng)絡(luò)爬蟲(chóng)�。可以說(shuō)“想攻入用戶(hù)數(shù)據(jù)中心先得拿下Akamai的云平臺(tái)”�。
便捷的管理:云上門(mén)戶(hù)作為一個(gè)集中式的大管家,記錄了所有的訪問(wèn)記錄�����,可以滿(mǎn)足審計(jì)需要��。而整個(gè)服務(wù)作為一個(gè)SaaS�,無(wú)論是管理還是使用都非常便捷,可以用各種終端進(jìn)行訪問(wèn)和設(shè)置�。
最后一點(diǎn)是成本優(yōu)勢(shì),作為一個(gè)SaaS服務(wù)���,企業(yè)只需按需付費(fèi)即可����,與原來(lái)需要VPN設(shè)備的方案相比,采購(gòu)成本以及安裝部署運(yùn)維成本差別非常大���,擴(kuò)展性方面更是沒(méi)法比��,Akamai的方案非常靈活���。
結(jié)語(yǔ)
3月末、4月初的北京尚未脫離疫情的影響�,在家辦公仍是主流。Akamai的方案非常有實(shí)際應(yīng)用價(jià)值����,它能非常快速地交付落地��。此外����,該方案在保證用戶(hù)體驗(yàn)安全的同時(shí)��,還能降低成本�、簡(jiǎn)化管理����,各種體驗(yàn)與企業(yè)舊有方案相比有明顯提升���。
