Akamai:远程办公VPN已过时,云上门户才是正确打开方式

疫情下,在家办公是绝大多数人的选择,有体验的人都知道,在家办公并不容易,对企业来说,长时间在家办公其实有不小的挑战。

如果企业IT基础设施以及相关的安全保障不到位的话,很可能会出现各种各样的风险及问题,会严重影响业务开展。Akamai提出以零信任安全模型为核心的云上门户的方案来替代传统VPN方案,在多个方面有明显优势。

在线办公的安全问题

关于在线办公,其实有一些如阿里钉钉、头条飞书以及华为Welink等在线SaaS办公软件,但这类服务都侧重办公协作,无法对接企业内部业务,无法让员工像在办公室一样正常使用公司的应用系统,因为有些应用只能企业内部运行,有的业务根本无法联网,还有的设备甚至连U盘都不能插。

为了正常办公,企业通常会采用一些特别的技术手段。比如用VPN接入企业内网访问一些应用,问题是,企业用的VPN方案通常都需要进行专门的安装和部署调试,特殊时期的服务响应又经常会碰到不可抗力的挑战。就算一切顺利,但这些技术本身因为将系统开放到了外网,意味着会遭受到安全威胁。

总之,疫情下的远程办公非常考验企业信息化水平,在疫情面前,企业更切实地感受到了数字化转型的必要性和急迫性,Akamai大中华区企业事业部高级售前技术经理马俊在与客户沟通过程中发现了很多问题,他梳理了企业办公结构的复杂性以及带来的问题,并提出以企业零信任安全模型作为核心来解决企业痛点。

Akamai大中华区企业事业部高级售前技术经理马俊

越来越明显的安全问题

在原始的办公环境中,大家主要在办公室内交流协作,有些外出人员会用VPN接入企业内网,但好在管理IT的是企业内部人员。

而随着时代进步,企业发现需要不断跟外部人员接触,比如企业的合作伙伴、企业的供应商等,总之,需要跟企业数据做对接的人变多了。不仅如此,能连接到企业内部数据的设备也越来越多,比如平板、手机、个人电脑等。

企业的IT基础设施也在变化,以前是绝对将数据与应用放在企业本地数据中心;而随着云计算的兴起,一些企业开始将部分应用和数据放到云上,大多数时候,企业都是混合云的环境,混合云有其便利性,同时也有复杂性,带来管理和维护上的挑战。

从黑客的视角看复杂度的变化,企业暴露出来的可攻击面比以前就大多了。黑客随便选一种设备冒充正常访问,就可轻而易举地进入云上或云下的数据中心进行破坏。

从员工的角度而言,一些原本正常的操作也可能会带来数据泄露、或者引入恶意程序,无意间的行为也可能会带来安全问题。

这些都暴露出了VPN在安全方面的短板,究其根本,在于单纯依靠防火墙的防护策略有问题。

VPN与防火墙配合进行访问权限管理本没有问题,但是架不住工作量大。当场景越来越多,环境越来越复杂,防火墙规则越来越多,管理效率就会非常低,任何不及时或不正确的管理设定都存在问题——该取消权限的访问若未被取消,便可能会引发安全问题,而该授予权限的访问得不到权限便会破坏使用体验。

Akamai的解决方案

既然VPN问题这么多,那不用VPN不就好了吗?然而,马俊表示,目前大部分企业采用的正是VPN架构。对于这些问题,Akamai提出了五方面的考虑:访问的安全性、网络的安全性、访问审计的安全性、管理的易用性以及运维成本的支出。

技术实现上,Akamai的思路是这样的:

在企业端,首先在企业数据中心和云数据中心(VPC)里设置一个叫“EAA”连接器的东西,它设置在数据中心防火墙后面。

在用户端,用户连接Akamai的认证安全SaaS服务,经过认证后,安全认证服务以加密的方式连接到企业数据中心。

有这套方案之后,企业就不用配置防火墙规则,也不需要专业的VPN设备。

原来复杂的管理工作转到了Akamai的云上后,用户便不会直接连到企业的数据中心,而是经过Akamai提供的云上门户——这个门户就是Akamai的智能边缘云,透过这个云上门户,企业能对所有权限进行集中管理,甄别每次访问是不是可信的、是不是符合权限。

云上门户的优势

Akamai将原本企业数据中心里的东西映射到一个外部的门户,云上门户的优势就非常明显了:可以用各种现代化的技术提升使用体验。具体可以总结为五个方面:应用管理、现代化的身份认证、平台内嵌的安全能力、可见的管理能力以及成本优势。

以应用为单位进行管理:企业可以控制应用的访问,决定将哪些应用放在云上门户,哪些东西留在原地。此外,企业也能在门户上配置角色和访问权限,以应用为单位进行授权管理。例如,让人事部门访问人事工作相关数据,让财务人员只使用自己财务相关的数据。

现代化的认证服务:云上门户能给企业类似互联网应用的体验。就像登录应用需要扫二维码或收验证码一样,云上门户能进行多种形式的身份认证服务,除了扫码和收验证码,还能用现代化的认证器进行身份验证,以非常现代化的方式进行多重身份验证,同时又有不错的使用体验。

安全能力集成:当用户只能通过云上门户来访问企业数据中心时,黑客能看到的也只是这个门户。这个门户由Akamai备受业界认可的安全能力来把关,能防黑客、抗DDoS和网络爬虫。可以说“想攻入用户数据中心先得拿下Akamai的云平台”。

便捷的管理:云上门户作为一个集中式的大管家,记录了所有的访问记录,可以满足审计需要。而整个服务作为一个SaaS,无论是管理还是使用都非常便捷,可以用各种终端进行访问和设置。

最后一点是成本优势,作为一个SaaS服务,企业只需按需付费即可,与原来需要VPN设备的方案相比,采购成本以及安装部署运维成本差别非常大,扩展性方面更是没法比,Akamai的方案非常灵活。

结语

3月末、4月初的北京尚未脱离疫情的影响,在家办公仍是主流。Akamai的方案非常有实际应用价值,它能非常快速地交付落地。此外,该方案在保证用户体验安全的同时,还能降低成本、简化管理,各种体验与企业旧有方案相比有明显提升。