实例|远程办公和零信任全都要
作者: 日期:2022年07月27日 阅:1,447

需求背景

移动办公的普及将用户的范畴广义化,包括了企业员工、承包商、供应商、渠道合作伙伴等需要接入办公应用和业务资源的用户。而这些用户需要通过手机或笔记本电脑等便携设备,随时随处都能与在办公室一样便捷顺畅工作。这种全新办公模式给企业的远程接入提出了新的需求。 

细分场景

  1. 远程接入:员工居家办公、分支机构、海外分支、承包商、渠道商的人员远程接入总部业务资源。
  2. 移动办公:员工外出或出差时能不受物理位置和IP地址限制,随时随处便捷访问业务资源,安全高效。
  3. 体验升级:VPN访问慢、容易断、体验差、不安全的升级替换。

场景实例

现状描述

  1. 某科技类公司共500名员工,总部在北京,在上海和深圳分别设有分公司。
  2. 公司的办公系统分别部署在A、B两个公有云,员工通过SSL VPN远程访问业务系统,运维工程师通过SSL VPN接入到云服务VPC远程运维。
  3. 公司的研发和测试服务器、运营数据系统部署在某数据中心,各办公区与数据中心使用IPSec VPN建立加密隧道,直接打通各办公区内网和数据中心,便于员工直接从内网访问数据中心的业务资源。

网络拓扑

需求分析

  1. 提高远程访问体验

受限于VPN的技术实现方式,远程接入的员工每次只能同时接入一个VPN网关,无法同时在一个终端上建立多个VPN隧道。

当员工需要访问不同区域的业务时,必须手动切换不同VPN,特别影响员工远程办公、研发测试和运营运维的工作效率。

  1. 精细化管控需求

当远程办公员工通过VPN接入后,实际上就进入到了整个内网/业务网段。 

由于远程接入员工变动频繁、角色复杂,管理员一般会给VPN网段开放较大的网络访问权限,允许远程接入员工在网络层可以访问所有业务,仅通过应用帐号权限进行业务访问管控。

这种管控方式在网络层留下了巨大的安全隐患,攻击者亦可通过VPN接入内网,在网络层面整个业务网段都向攻击者开放。

部署拓扑

部署方案

  1. 信域管理控制平台TMC部署

TMC部署在数据中心的业务局域网中,分配局域网IP地址,无需对局域网外开放端口。

  1. 信域网关TMG部署

分别在两个公有云的VPC里、数据中心业务局域网各部署一套TMG,分别代理各自区域的业务服务。

在云VPC出口网关、数据中心出口防火墙上配置DNAT策略,将TMG的UDP9527端口映射到网络出口公网IP地址的任意固定端口上,并开启此端口的双向UDP访问权限。

  1. 信域客户端TMA部署

员工办公终端上安装信域APP,终端用户使用信域APP登录信域安全云网。

实现效果

  1. 随时随处便捷远程接入,不用切换同时访问不同业务

无论是居家办公、差旅途中、外出移动办公,所有员工通过信域TMA终端软件经认证授权后,即可访问所有授权业务资源,且所有授权业务资源可同时访问,终端用户无需关心业务资源部署位置,无需切换链路。

  1. 基于身份的细粒度访问控制

网络访问控制策略基于帐号、终端与业务资源三个主要要素设置,策略编排不依赖于终端的IP地址。

管理员只需要根据业务需求,按照公司组织架构或角色、帐号等设置授权策略即可,无需考虑复杂的网络地址分段,大幅降低管理员的运维工作量,消除了企业在网络层面的隐含信任漏洞问题。

  1. 大幅减少攻击暴露面

所有业务资源都隐藏在业务区的内部网络中,无需对互联网或办公网暴露任何端口,所有业务访问的网络数据包都将经过身份认证,避免了来自非认证非授权人员的潜在安全威胁,让企业用最小代价实现了对绝大多数安全威胁的有效防御。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章