企业SSL VPN最佳部署方案|移动办公 IPSEC. 2020-03-31
现如今,随着互联网技术的发展,越来越多的重要数据和核心业务从电脑终端向手机移动端转移。
这时就有一个问题常被提及:SSL VPN可以加密流量,HTTPS也可以加密,同样支持RSA、AES等算法,都用443端口,并且还免费。那为什么不用HTTPS来进行远程移动办公接入呢?
不仅如此,在行业标准和企业信息安全规范中,如《国家电子政务外网安全接入平台技术规范》,政府、金融和企业用户都被规定使用VPN。
从算法的安全性角度来看,HTTPS、SSL VPN网络层的防窃听、防篡改的效果都差距不大。
那为什么政企单位会被严格要求使用VPN技术呢?
▲政务外网安全接入平台
VPN拥有的独特优势
在VPN的场景里,只要用户能够与VPN网关网络互通,在经过VPN网关的身份认证、授权之后,就能访问VPN网关另一侧的内网资源。
想要通过VPN访问内网,第一关就是身份认证。只有经过客户内部认证系统的身份确认之后,才可以建立网络层的连接,让正确的人进来。在此基础上秘钥交换、加密才有真正的价值。
越重要的业务系统越需要安全接入,而VPN技术的特性恰好满足了这个需求:
1. 网络层准入控制:无论是WiFi接入、3G/4G接入,还是有线网络接入,VPN技术都能够随时、随地的完成统一网络层准入控制,帮助客户保障接入到内网的用户身份安全,例如通过利用用户名密码认证、CA认证、域控AD认证,双因素认证等等手段。
2. 商密算法的支持:用户认证、加密时使用的加密算法,可以根据客户的需求替换成高安全性的商密SM1、SM2、SM3、SM4算法,在身份安全的基础上,增强数据加密的安全性。
可以发现,合规要求中的VPN加密接入,解决了网络层准入控制的核心痛点,而这一点,移动办公客户最看重;同时VPN可以满足国家密码局商密算法的要求。
▲VPN接入流程图
相比SSL VPN,HTTPS弱点其实很明显:
1. HTTPS设计的出发点,默认就是信任客户端的,访问Google可以不用输入用户名密码,HTTPS对安全的关注都用在了验证Google网站的可信度上。在默认情况下,HTTPS是先建立加密通道,再让应用去验证用户身份;另外,HTTPS默认只能使用国际标准的加密算法,需要高成本的底层改造才能支持国家商密算法。
2. SSL VPN设计从一开始,就是不信任客户端的,只有先验证用户的身份,才能继续网络协商,建立网络层的加密通道;除此之外,SSL VPN可完美支持商密算法,满足政府、金融等合规需求场景。
HTTPS好比是让坏人和好人先进大堂,再查工卡过闸机,此时坏人已经进入大堂,有了可乘之机;SSL VPN是进大堂前,就要刷特制的工卡过闸机,只有带特制工卡的人才能进大堂。
除此之外,政企客户在有多个APP时,需要开放多个HTTPS的IP/端口,而SSL VPN只需要开放一个443端口,就可以无限扩展支持多个APP上线,有效减少暴露面,极大的降低网络风险。
不难发现,使用HTTPS的风险更大,其设计模式让黑客多了不少可乘之机。
深信服下一代移动专属VPN技术
深信服深耕VPN产品和技术将近20年,VPN产品市场占有率连续11年排名第一(数据来源于:《IDC PRC Quarterly Security Appliance Tracker_2018Q4》)。深信服基于对客户需求和产品技术的积累,推出了EMM EasyWork移动办公安全方案。该方案在“移动应用沙箱”的创新基础上,集成了深信服特有的“下一代移动专属VPN”技术,构建了一个真正隔离的“移动办公空间”。
深信服移动专属VPN有以下优势特点:
1. 隔断外部网络“窃密”:专属VPN建立之后,仅“移动应用沙箱”中的APP才有权限访问内部网络,例如个人手机上感染了病毒,此病毒在网络层无法通过专属VPN渗透、感染到内网。
2. 阻止内部网络“泄密”:员工通过专属VPN接入到内网中后,在“移动应用沙箱”中无法访问非授权的互联网地址,例如,被收买的内鬼员工无法通过访问外网云盘的方式泄密。
3. 传输高安全:支持软件、硬件方式的商密算法,对移动办公网络数据传输,进行高安全加密保护。
▲深信服移动专属VPN特点