为什么软件定义边界比VPN更适用于安全远程访问
作者:星期三, 十月 3, 20180

越来越多的员工在咖啡馆、机场和家里工作,数据泄露的代价不断增加基于边界的VPN所造成的安全顾虑。于是,公司企业纷纷将目光投向其他替代技术,比如使用零信任模型的软件定义边界(SDP)。

基于边界的虚拟专用网(VPN)全球部署,为分布全球的员工和承包商提供企业网络接入支持。到目前为止,VPN仍是较好的远程访问解决方案。

但是,一旦授权,VPN用户便对企业网络上的资源拥有过于宽泛的访问权限。这种要么能完全访问,要么根本不能访问的模式,令敏感资源及信息可能暴露在VPN用户和攻击者面前。

因此,更具竞争力的安全远程访问选项——软件定义边界解决方案(SDP),便开始火热起来。SDP能确保基于预设策略就具体应用的访问,而不是对整个网络的访问,对用户进行身份验证和授权。

鉴于SDP在安全性、可扩展性、可靠性和灵活性上的创新,公司企业有十大理由需要重新考虑如何进行安全远程访问。

1. 传统VPN安全问题

员工移动性大幅增加和云迁移盛行的时代,公司企业保护边界安全的难度越来越大,企业安全岌岌可危。传统VPN访问太过放任,远程员工得到的授权远超完成工作所需。因此,网络资源被不必要地暴露出来,为攻击者大开了方便之门。

2. 用户适用零信任远程访问,而网络仍是隔离的

相比VPN,SDP安全优势多多。首先,SDP没有信任区。IT管理员必须显式授权用户访问特定应用。除了这些为用户设备创建的指定单对单连接,所有其他网络资源对用户都是完全不可见的。

某些SDP解决方案会采用基于身份的联网技术在数据包层级为用户或设备持续认证。安全不存在侥幸,所有网络流量都有日志可供审计和调查。

3. 不可靠的终端用户体验

用过企业VPN的人就知道,速度慢和不可靠是常见现象。如果在多个地点使用应用,不断重连和断开的体验令人心生恼怒,而且根据所需应用不同,用户还得跟踪记录自己都是在哪儿登录的。

4. SDP连接一次即可访问所需全部应用

采用恰当的SDP解决方案,终端用户只需连接一次即可访问所需应用——无论身处何方,用户体验更好。针对非托管个人设备、承包商、合作伙伴及客户,基于浏览器的无代理解决方案能令应用访问尽可能的简单。

5. 管理难题

每当涉及云迁移,VPN管理复杂度就会膨胀,让IT管理员不得不配置和同步不同地点的VPN及防火墙策略。这让清除不必要的访问变得更加困难。

6. 现场VPN配置 vs SDP即服务方法

相比在每个数据中心和云实例中配置VPN的复杂和麻烦,管理员可将每个网络资源搭载到一个SDP平台上,从此以后便在云端集中管理所有策略。完全基于云的SDP解决方案还有另一个优势:数据中心或管理员开放了访问权的虚拟私有云(VPC)上基本就没有什么设置或维护了。所有情报和安全实施都在云端完成。

7. 缺乏负担得起的扩展

随着公司企业要求更多用户连接和跨多云实例部署,VPN/防火墙的成本随所需许可和更高端设备的增加而快速上升。可扩展性以巨额开支为代价。

8. 不受限的增长潜力

云原生SDP解决方案中,扩展从来不是个问题。无论需连接的用户数有多少,无论需被访问的应用有多少,SDP解决方案都有能力在云端无缝扩展,无需高价购买硬件。

9. 灵活性的代价

VPN可被用于连接多个站点、数据中心和虚拟私有云(VPC),具有灵活性。但这些连接选项却是资源密集型的,有可能推高成本。

10. 任意连接,拒绝复杂

软件定义边界解决方案可供员工更高效地连接IT资源,既无需增加硬件成本,也无需复杂冗长的管理。

总结

了解安全远程访问的现实可以推动向云迈进的公司企业采用软件定义边界解决方案。SDP在用户和资源间实现单对单的定制网络访问策略。未授权用户看不到资源,减少了潜在攻击面。SDP以人为中心的方法更可管理,更普遍、安全和敏捷,所带来的好处远远超过传统现场VPN的。

相关阅读

千万不能过于信任VPN

VPN、防火墙算啥 俄罗斯可以直接砍断海底电缆

没有人知道你是一条狗 为什么安全需要软件定义边界

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章