(2) VPN:通過VPN,內(nèi)網(wǎng)及其所有的資源都將對該業(yè)務人員的設備開放��。
(3) VDI:通過VDI,業(yè)務人員可以操作虛擬計算機(通常是Windows操作系統(tǒng)),這個虛擬機可以用作企業(yè)應用系統(tǒng)的啟動平臺�。業(yè)務應用系統(tǒng)通常是一個需要“厚Windows客戶端”(較多在客戶端及服務器端的運算,較少的通信鏈接)的客戶端/服務器應用程序��。
使用SDP訪問
通過SDP解決方案,只有授權用戶才能訪問業(yè)務應用系統(tǒng)���。實際上,未經(jīng)授權的用戶甚至無法訪問SDP網(wǎng)關 ——在SDP模型中有一個重要概念,即單包授權(Single Packet Authorization, SPA)技術�。所有訪問業(yè)務系統(tǒng)之前都需要發(fā)一個SPA包,該包內(nèi)含有用戶身份���、訪問token��、時間戳���、超時時間等數(shù)據(jù),網(wǎng)關只有接收客戶端發(fā)來的第一個帶身份信息的包,服務器驗證通過后,才會允許建立用戶與應用之間的連接���。
也正因為應用受到單包授權SPA的保護,所以對攻擊者來說實際上是完全不可見�。
以下為不同的用戶的訪問需求,以及如何管理這種訪問:
案例一
需求:Grace在公司總部的銷售部門工作。日常工作中,她需要通過由IT團隊開發(fā)的新銷售報告系統(tǒng)訪問重點客戶銷售報告����。由于經(jīng)常拜訪不同地方的客戶,需要遠程運行報告,且該應用系統(tǒng)托管在Amazon AWS上。
挑戰(zhàn):Grace在出差期間在機場和咖啡店訪問多個免費網(wǎng)絡�。過去,IT安全部門發(fā)現(xiàn)了她的筆記本電腦上的惡意軟件,他們擔心當Grace通過VPN訪問新的重點客戶銷售報告或返回公司總部時,惡意軟件可能會傳播到AWS基礎架構中。
案例二
需求:Dave負責IT部門的供應鏈應用系統(tǒng)����。新的業(yè)務流程要求其供應商員工Jim在貨物發(fā)運后立即在其供應鏈應用系統(tǒng)中輸入貨件的詳細信息。
挑戰(zhàn):這需要授予第三方供應商的一部分人員對應用系統(tǒng)的訪問權限,這些業(yè)務人員(例如Jim)不是公司的員工,而Dave對其安全策略及安全培訓等方面的控制是有限的��。Dave不希望授予他們進入公司內(nèi)網(wǎng)的廣泛網(wǎng)絡訪問權限(VPN),他擔心如果供應商端的賬號被盜,他的整個公司網(wǎng)絡將會受到傷害���。他該如何限制“爆炸半徑”?
案例三
需求:Jim每周都會準備一份業(yè)務分析報告,生成報告的是一個只能在Windows系統(tǒng)上運行的客戶端/服務器(C/S)應用程序����。所以IT部門為Jim和他的團隊部署了一個VDI解決方案。Jim每次需要通過VDI登錄遠程桌面,然后啟動報告程序�����。
挑戰(zhàn):這個(C/S)報告程序是從一個大型供應商處購買的打包的應用程序�。建議的部署模式僅是“自有”,即供應商建議不要通過公共互聯(lián)網(wǎng)訪問應用程序的服務端,因為其并不穩(wěn)定/安全。也就是說,服務器必須與客戶端在同一網(wǎng)絡內(nèi)�����。
因此,對于遠程用戶,IT安全團隊決定使用VDI,其中客戶端和服務器始終保持在同一網(wǎng)絡中�。但是,構建和維護VDI服務器的成本非常高,并且會隨著遠程/出差雇員數(shù)量的增加而增加。
組織面臨的挑戰(zhàn)是如何安全地開放(C/S)應用程序的服務器部分,以便業(yè)務用戶可以直接在他們自己的Windows筆記本電腦上運行客戶端�。
總結
在這個使用場景中,SDP為企業(yè)提供了強大的優(yōu)勢:
○為遠程業(yè)務用戶提供安全訪問企業(yè)應用的途徑;
○精確控制用戶可以訪問的應用程序;
○增加第三方業(yè)務集成;
○更簡單的合規(guī)報告;
○降低VDI相關基礎設施成本;
○更簡單的安全策略配置;
○提高業(yè)務流程的生產(chǎn)效率。
