疫情下,在家辦公是絕大多數人的選擇,有體驗的人都知道,在家辦公並不容易,對企業來說,長時間在家辦公其實有不小的挑戰。
如果企業IT基礎設施以及相關的安全保障不到位的話,很可能會出現各種各樣的風險及問題,會嚴重影響業務開展。Akamai提出以零信任安全模型為核心的雲上門戶的方案來替代傳統VPN方案,在多個方面有明顯優勢。
在線辦公的安全問題
關於在線辦公,其實有一些如阿里釘釘、頭條飛書以及華為Welink等在線SaaS辦公軟件,但這類服務都側重辦公協作,無法對接企業內部業務,無法讓員工像在辦公室一樣正常使用公司的應用系統,因為有些應用只能企業內部運行,有的業務根本無法聯網,還有的設備甚至連U盤都不能插。
為了正常辦公,企業通常會採用一些特別的技術手段。比如用VPN接入企業內網訪問一些應用,問題是,企業用的VPN方案通常都需要進行專門的安裝和部署調試,特殊時期的服務響應又經常會碰到不可抗力的挑戰。就算一切順利,但這些技術本身因為將系統開放到了外網,意味著會遭受到安全威脅。
總之,疫情下的遠程辦公非常考驗企業信息化水平,在疫情面前,企業更切實地感受到了數字化轉型的必要性和急迫性,Akamai大中華區企業事業部高級售前技術經理馬俊在與客戶溝通過程中發現了很多問題,他梳理了企業辦公結構的複雜性以及帶來的問題,並提出以企業零信任安全模型作為核心來解決企業痛點。
Akamai大中華區企業事業部高級售前技術經理馬俊
越來越明顯的安全問題
在原始的辦公環境中,大家主要在辦公室內交流協作,有些外出人員會用VPN接入企業內網,但好在管理IT的是企業內部人員。
而隨著時代進步,企業發現需要不斷跟外部人員接觸,比如企業的合作伙伴、企業的供應商等,總之,需要跟企業數據做對接的人變多了。不僅如此,能連接到企業內部數據的設備也越來越多,比如平板、手機、個人電腦等。
企業的IT基礎設施也在變化,以前是絕對將數據與應用放在企業本地數據中心;而隨著雲計算的興起,一些企業開始將部分應用和數據放到雲上,大多數時候,企業都是混合雲的環境,混合雲有其便利性,同時也有複雜性,帶來管理和維護上的挑戰。
從黑客的視角看複雜度的變化,企業暴露出來的可攻擊面比以前就大多了。黑客隨便選一種設備冒充正常訪問,就可輕而易舉地進入雲上或雲下的數據中心進行破壞。
從員工的角度而言,一些原本正常的操作也可能會帶來數據洩露、或者引入惡意程序,無意間的行為也可能會帶來安全問題。
這些都暴露出了VPN在安全方面的短板,究其根本,在於單純依靠防火牆的防護策略有問題。
VPN與防火牆配合進行訪問權限管理本沒有問題,但是架不住工作量大。當場景越來越多,環境越來越複雜,防火牆規則越來越多,管理效率就會非常低,任何不及時或不正確的管理設定都存在問題——該取消權限的訪問若未被取消,便可能會引發安全問題,而該授予權限的訪問得不到權限便會破壞使用體驗。
Akamai的解決方案
既然VPN問題這麼多,那不用VPN不就好了嗎?然而,馬俊表示,目前大部分企業採用的正是VPN架構。對於這些問題,Akamai提出了五方面的考慮:訪問的安全性、網絡的安全性、訪問審計的安全性、管理的易用性以及運維成本的支出。
技術實現上,Akamai的思路是這樣的:
在企業端,首先在企業數據中心和雲數據中心(VPC)裡設置一個叫“EAA”連接器的東西,它設置在數據中心防火牆後面。
在用戶端,用戶連接Akamai的認證安全SaaS服務,經過認證後,安全認證服務以加密的方式連接到企業數據中心。
有這套方案之後,企業就不用配置防火牆規則,也不需要專業的VPN設備。
原來複雜的管理工作轉到了Akamai的雲上後,用戶便不會直接連到企業的數據中心,而是經過Akamai提供的雲上門戶——這個門戶就是Akamai的智能邊緣雲,透過這個雲上門戶,企業能對所有權限進行集中管理,甄別每次訪問是不是可信的、是不是符合權限。
雲上門戶的優勢
Akamai將原本企業數據中心裡的東西映射到一個外部的門戶,雲上門戶的優勢就非常明顯了:可以用各種現代化的技術提升使用體驗。具體可以總結為五個方面:應用管理、現代化的身份認證、平臺內嵌的安全能力、可見的管理能力以及成本優勢。
以應用為單位進行管理:企業可以控制應用的訪問,決定將哪些應用放在雲上門戶,哪些東西留在原地。此外,企業也能在門戶上配置角色和訪問權限,以應用為單位進行授權管理。例如,讓人事部門訪問人事工作相關數據,讓財務人員只使用自己財務相關的數據。
現代化的認證服務:雲上門戶能給企業類似互聯網應用的體驗。就像登錄應用需要掃二維碼或收驗證碼一樣,雲上門戶能進行多種形式的身份認證服務,除了掃碼和收驗證碼,還能用現代化的認證器進行身份驗證,以非常現代化的方式進行多重身份驗證,同時又有不錯的使用體驗。
安全能力集成:當用戶只能通過雲上門戶來訪問企業數據中心時,黑客能看到的也只是這個門戶。這個門戶由Akamai備受業界認可的安全能力來把關,能防黑客、抗DDoS和網絡爬蟲。可以說“想攻入用戶數據中心先得拿下Akamai的雲平臺”。
便捷的管理:雲上門戶作為一個集中式的大管家,記錄了所有的訪問記錄,可以滿足審計需要。而整個服務作為一個SaaS,無論是管理還是使用都非常便捷,可以用各種終端進行訪問和設置。
最後一點是成本優勢,作為一個SaaS服務,企業只需按需付費即可,與原來需要VPN設備的方案相比,採購成本以及安裝部署運維成本差別非常大,擴展性方面更是沒法比,Akamai的方案非常靈活。
結語
3月末、4月初的北京尚未脫離疫情的影響,在家辦公仍是主流。Akamai的方案非常有實際應用價值,它能非常快速地交付落地。此外,該方案在保證用戶體驗安全的同時,還能降低成本、簡化管理,各種體驗與企業舊有方案相比有明顯提升。
閱讀更多 雲體驗師 的文章
