越來越明顯的安全問題
在原始的辦公環(huán)境中�,大家主要在辦公室內交流協(xié)作���,有些外出人員會用VPN接入企業(yè)內網(wǎng)����,但好在管理IT的是企業(yè)內部人員�。
而隨著時代進步,企業(yè)發(fā)現(xiàn)需要不斷跟外部人員接觸����,比如企業(yè)的合作伙伴、企業(yè)的供應商等��,總之����,需要跟企業(yè)數(shù)據(jù)做對接的人變多了��。不僅如此���,能連接到企業(yè)內部數(shù)據(jù)的設備也越來越多,比如平板��、手機�����、個人電腦等�����。
企業(yè)的IT基礎設施也在變化��,以前是絕對將數(shù)據(jù)與應用放在企業(yè)本地數(shù)據(jù)中心��;而隨著云計算的興起���,一些企業(yè)開始將部分應用和數(shù)據(jù)放到云上����,大多數(shù)時候,企業(yè)都是混合云的環(huán)境��,混合云有其便利性����,同時也有復雜性,帶來管理和維護上的挑戰(zhàn)���。
從黑客的視角看復雜度的變化,企業(yè)暴露出來的可攻擊面比以前就大多了��。黑客隨便選一種設備冒充正常訪問�����,就可輕而易舉地進入云上或云下的數(shù)據(jù)中心進行破壞�����。
從員工的角度而言���,一些原本正常的操作也可能會帶來數(shù)據(jù)泄露���、或者引入惡意程序,無意間的行為也可能會帶來安全問題。
這些都暴露出了VPN在安全方面的短板����,究其根本,在于單純依靠防火墻的防護策略有問題�。
VPN與防火墻配合進行訪問權限管理本沒有問題,但是架不住工作量大���。當場景越來越多���,環(huán)境越來越復雜,防火墻規(guī)則越來越多���,管理效率就會非常低�,任何不及時或不正確的管理設定都存在問題——該取消權限的訪問若未被取消���,便可能會引發(fā)安全問題�����,而該授予權限的訪問得不到權限便會破壞使用體驗�����。
Akamai的解決方案
既然VPN問題這么多��,那不用VPN不就好了嗎�?然而,馬俊表示���,目前大部分企業(yè)采用的正是VPN架構�。對于這些問題����,Akamai提出了五方面的考慮:訪問的安全性��、網(wǎng)絡的安全性����、訪問審計的安全性、管理的易用性以及運維成本的支出�����。
技術實現(xiàn)上��,Akamai的思路是這樣的:
在企業(yè)端�����,首先在企業(yè)數(shù)據(jù)中心和云數(shù)據(jù)中心(VPC)里設置一個叫“EAA”連接器的東西,它設置在數(shù)據(jù)中心防火墻后面���。
在用戶端��,用戶連接Akamai的認證安全SaaS服務�,經過認證后����,安全認證服務以加密的方式連接到企業(yè)數(shù)據(jù)中心。
有這套方案之后��,企業(yè)就不用配置防火墻規(guī)則��,也不需要專業(yè)的VPN設備���。
原來復雜的管理工作轉到了Akamai的云上后�����,用戶便不會直接連到企業(yè)的數(shù)據(jù)中心���,而是經過Akamai提供的云上門戶——這個門戶就是Akamai的智能邊緣云�,透過這個云上門戶�����,企業(yè)能對所有權限進行集中管理��,甄別每次訪問是不是可信的�、是不是符合權限。
云上門戶的優(yōu)勢
Akamai將原本企業(yè)數(shù)據(jù)中心里的東西映射到一個外部的門戶�,云上門戶的優(yōu)勢就非常明顯了:可以用各種現(xiàn)代化的技術提升使用體驗。具體可以總結為五個方面:應用管理��、現(xiàn)代化的身份認證���、平臺內嵌的安全能力、可見的管理能力以及成本優(yōu)勢���。
以應用為單位進行管理:企業(yè)可以控制應用的訪問��,決定將哪些應用放在云上門戶����,哪些東西留在原地���。此外��,企業(yè)也能在門戶上配置角色和訪問權限���,以應用為單位進行授權管理�。例如��,讓人事部門訪問人事工作相關數(shù)據(jù)�,讓財務人員只使用自己財務相關的數(shù)據(jù)。
現(xiàn)代化的認證服務:云上門戶能給企業(yè)類似互聯(lián)網(wǎng)應用的體驗���。就像登錄應用需要掃二維碼或收驗證碼一樣����,云上門戶能進行多種形式的身份認證服務�,除了掃碼和收驗證碼,還能用現(xiàn)代化的認證器進行身份驗證��,以非?���,F(xiàn)代化的方式進行多重身份驗證,同時又有不錯的使用體驗����。
安全能力集成:當用戶只能通過云上門戶來訪問企業(yè)數(shù)據(jù)中心時�����,黑客能看到的也只是這個門戶�����。這個門戶由Akamai備受業(yè)界認可的安全能力來把關���,能防黑客、抗DDoS和網(wǎng)絡爬蟲����。可以說“想攻入用戶數(shù)據(jù)中心先得拿下Akamai的云平臺”����。
便捷的管理:云上門戶作為一個集中式的大管家���,記錄了所有的訪問記錄�����,可以滿足審計需要��。而整個服務作為一個SaaS�����,無論是管理還是使用都非常便捷�����,可以用各種終端進行訪問和設置�����。
最后一點是成本優(yōu)勢�����,作為一個SaaS服務�,企業(yè)只需按需付費即可,與原來需要VPN設備的方案相比���,采購成本以及安裝部署運維成本差別非常大���,擴展性方面更是沒法比��,Akamai的方案非常靈活���。
結語
3月末、4月初的北京尚未脫離疫情的影響��,在家辦公仍是主流��。Akamai的方案非常有實際應用價值���,它能非?���?焖俚亟桓堵涞?。此外,該方案在保證用戶體驗安全的同時�����,還能降低成本�、簡化管理,各種體驗與企業(yè)舊有方案相比有明顯提升�。
