為什么軟件定義邊界比VPN更適用于安全遠程訪問
越來越多的員工在咖啡館、機場和家里工作,數據泄露的代價不斷增加基于邊界的VPN所造成的安全顧慮。于是,公司企業紛紛將目光投向其他替代技術,比如使用零信任模型的軟件定義邊界(SDP)。
基于邊界的虛擬專用網(VPN)全球部署,為分布全球的員工和承包商提供企業網絡接入支持。到目前為止,VPN仍是較好的遠程訪問解決方案。
但是,一旦授權,VPN用戶便對企業網絡上的資源擁有過于寬泛的訪問權限。這種要么能完全訪問,要么根本不能訪問的模式,令敏感資源及信息可能暴露在VPN用戶和攻擊者面前。
因此,更具競爭力的安全遠程訪問選項——軟件定義邊界解決方案(SDP),便開始火熱起來。SDP能確保基于預設策略就具體應用的訪問,而不是對整個網絡的訪問,對用戶進行身份驗證和授權。
鑒于SDP在安全性、可擴展性、可靠性和靈活性上的創新,公司企業有十大理由需要重新考慮如何進行安全遠程訪問。
1. 傳統VPN安全問題
員工移動性大幅增加和云遷移盛行的時代,公司企業保護邊界安全的難度越來越大,企業安全岌岌可危。傳統VPN訪問太過放任,遠程員工得到的授權遠超完成工作所需。因此,網絡資源被不必要地暴露出來,為攻擊者大開了方便之門。
2. 用戶適用零信任遠程訪問,而網絡仍是隔離的
相比VPN,SDP安全優勢多多。首先,SDP沒有信任區。IT管理員必須顯式授權用戶訪問特定應用。除了這些為用戶設備創建的指定單對單連接,所有其他網絡資源對用戶都是完全不可見的。
某些SDP解決方案會采用基于身份的聯網技術在數據包層級為用戶或設備持續認證。安全不存在僥幸,所有網絡流量都有日志可供審計和調查。
3. 不可靠的終端用戶體驗
用過企業VPN的人就知道,速度慢和不可靠是常見現象。如果在多個地點使用應用,不斷重連和斷開的體驗令人心生惱怒,而且根據所需應用不同,用戶還得跟蹤記錄自己都是在哪兒登錄的。
4. SDP連接一次即可訪問所需全部應用
采用恰當的SDP解決方案,終端用戶只需連接一次即可訪問所需應用——無論身處何方,用戶體驗更好。針對非托管個人設備、承包商、合作伙伴及客戶,基于瀏覽器的無代理解決方案能令應用訪問盡可能的簡單。
5. 管理難題
每當涉及云遷移,VPN管理復雜度就會膨脹,讓IT管理員不得不配置和同步不同地點的VPN及防火墻策略。這讓清除不必要的訪問變得更加困難。
6. 現場VPN配置 vs SDP即服務方法
相比在每個數據中心和云實例中配置VPN的復雜和麻煩,管理員可將每個網絡資源搭載到一個SDP平臺上,從此以后便在云端集中管理所有策略。完全基于云的SDP解決方案還有另一個優勢:數據中心或管理員開放了訪問權的虛擬私有云(VPC)上基本就沒有什么設置或維護了。所有情報和安全實施都在云端完成。
7. 缺乏負擔得起的擴展
隨著公司企業要求更多用戶連接和跨多云實例部署,VPN/防火墻的成本隨所需許可和更高端設備的增加而快速上升。可擴展性以巨額開支為代價。
8. 不受限的增長潛力
云原生SDP解決方案中,擴展從來不是個問題。無論需連接的用戶數有多少,無論需被訪問的應用有多少,SDP解決方案都有能力在云端無縫擴展,無需高價購買硬件。
9. 靈活性的代價
VPN可被用于連接多個站點、數據中心和虛擬私有云(VPC),具有靈活性。但這些連接選項卻是資源密集型的,有可能推高成本。
10. 任意連接,拒絕復雜
軟件定義邊界解決方案可供員工更高效地連接IT資源,既無需增加硬件成本,也無需復雜冗長的管理。
總結
了解安全遠程訪問的現實可以推動向云邁進的公司企業采用軟件定義邊界解決方案。SDP在用戶和資源間實現單對單的定制網絡訪問策略。未授權用戶看不到資源,減少了潛在攻擊面。SDP以人為中心的方法更可管理,更普遍、安全和敏捷,所帶來的好處遠遠超過傳統現場VPN的。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
