深云SDP比传统VPN更适用于安全远程访问的10个原因
VPN技术出现于30年前,企业通常使用VPN作为远程访问方案。但是随着云计算、移动互联网、虚拟化、微服务等新技术的出现,企业IT架构已经发生了翻天覆地的变化,VPN已经不能满足云和移动时代所需的安全、高效的访问体验。公司企业纷纷将目光投向新一代的技术,比如基于零信任理念的软件定义边界,即Software-Defined-Perimeter(SDP) 方案。
一、体验
SDP网速更快
用过企业VPN的人就知道,速度慢和不可靠是常见现象。如果在多个地点使用应用,不断重连和断开的体验令人心生恼怒。
为什么VPN这么慢呢?
VPN的连接模式是隧道模式,类似于在客户端和VPN网关之间建立网络层长连接。我们都知道长链接对服务器的压力很大。不论用户有没有访问内网应用,始终都在与内网连接。这就使并发量成为了VPN服务器的瓶颈。
而深云SDP的模式是应用层的短连接模式。只在用户访问应用时才去连接SDP网关,在没有数据传输的时候链接是断开的。这大大提高了吞吐量。
终端用户的体验差别也同样明显。深云SDP的用户可以明显看到,用SDP上网,比用VPN上网要快很多。尤其是公司人数较多,或者工作高峰时间,网速差距更明显。
SDP更稳定
VPN是基于长连接的。用户访问网站前,需要建立并维持一个VPN隧道。一旦隧道断了,用户就掉线了。VPN的隧道对网络很敏感,所以显得很不稳定,比如wifi信号弱,断了1秒钟,那用户的VPN就断了。用户发现网站打不开,只能退出VPN重连。
深云SDP相当于代理。用户访问网站时,SDP网关才去转发用户的访问请求。就像平时上网一样,用户根本意识不到短暂的网络不稳定。
使用SDP更省心
随着云时代的到来,用户已经习惯了随时随地的访问体验。而VPN是很难用的。用户需要经常性地登录、登出。
VPN是基于长连接的,网络环境一变就需要重连。例如,从办公室离开到客户现场,或者去机场、咖啡馆,用户都要重新登录一次VPN。
VPN连接成功后,相当于将用户放到了内网之中。如果用户访问内网应用是没问题的,但是通常用户要退出VPN,才能更快速地访问外网。所以用户要时刻考虑着要访问内网还是外网,要关VPN还是开VPN。
因为深云SDP不需建立长连接,即用即连。所以,用户只有第一次使用时,需要登录SDP客户端。以后无论是网络环境变化,还是访问内外网的不同应用,用户都无需特别关心,像平常一样,直接访问想访问的企业应用就行了。用户甚至完全感受不到SDP的存在。
二、安全
VPN会暴露整个内网,但SDP不会
员工移动性大幅增加和云迁移盛行的时代,公司企业保护边界安全的难度越来越大,企业安全岌岌可危。传统VPN访问太过放任,远程员工得到的授权远超完成工作所需。因此,网络资源被不必要地暴露出来,为攻击者大开了方便之门。
用户登录VPN后,VPN通常会在网络层将用户的设备连入内网,提供无约束的网络访问。也就是说VPN用户可以对企业内网上的所有资源进行访问。这种要么能完全访问,要么根本不能访问的模式,令敏感资源及信息完全暴露在VPN用户和攻击者面前。一旦用户的VPN账号泄露,公司将面临巨大风险。
深云SDP对用户进行身份验证后,只授权用户访问特定业务系统,而非整个内网。SDP的原理是在应用层转发用户请求,允许用户远程访问,但网络仍然是隔离的。用户与服务器不直连,SDP网关本身起到一个堡垒机作用。
举个具体的例子,如果两个员工,一个通过SDP接入内网,一个通过VPN接入内网。那么VPN用户可以扫描到内网中的所有服务器、电脑(如下图),随时发起攻击;而SDP用户用同样的工具去扫描,无法扫描到任何内网资源,无法发起攻击。
SDP能消除更多网络攻击风险
VPN在企业的安全边界上开了一个洞,允许用户通过这个洞出入企业内网。有洞就有可能遭到攻击,VPN会给企业带来一定的外部攻击风险。
深云SDP通过动态端口技术,动态隐藏企业安全边界的出入口,基本上可以消除所有基于网络的黑客攻击风险。
默认情况下,SDP网关会“拒绝一切”TCP连接
用户在客户端填写身份信息后,SDP客户端向网关发送一个带身份信息的UDP包
网关验证通过后,才允许同IP的客户端在短时间内建立TCP连接
此时合法的用户开始正常访问
SPA和动态端口技术保证了黑客看不到开放的端口,无法对服务器进行扫描,进而无法发起任何网络攻击。而且,黑客看不到服务器的内容,也就看不到攻破服务器能获取的好处,这将大大减少黑客进攻的意愿。
下表来自国际云安全联盟CSA发布的报告 ,列举了常见的网络攻击风险及SDP对于解决威胁所起到的作用:
SDP的访问控制粒度更细
VPN工作在网络层,对应用层的访问控制是力不从心的。
深云SDP可以设置访问策略,限制哪些用户可以访问哪些应用。而且,如果以深云的浏览器做为SDP客户端的话,还可以进一步对用户的浏览器操作做限制。
例如,SDP可以限制只有财务部的员工才能访问财务系统。而且,可以限制财务部的实习员工无法使用右键复制信息、无法下载任何文件。
SDP拥有更细粒度的访问控制,即使某个用户被攻陷,他也只能在很小的范围内造成破坏。内网的其他资源仍然是安全的。
SDP支持内网的保护,而VPN不能
VPN就像一座城墙,可以很好的防范外部入侵的敌人,但无法管控城墙内的奸细。这意味着企业需要另一个不同的技术来控制本地用户的访问。协调和匹配这两个解决方案所需的工作量会成倍增加。
SDP是一个完整的安全方案,它适用于保护远程接入的安全,同样适用于保护内网办公的安全。只要把SDP网关部署在企业应用之前,用户无论从内网还是外网访问,都需要通过SDP的验证和授权。
SDP支持多因子身份验证,而VPN不能
VPN 不能准确地确认那些试图访问您网络的人员的身份,或者不能根据多重身份验证 (MFA) 提供持续的自适应放行/拦截机制。VPN隧道建立后,身份认证就只能依靠应用自身。
深云SDP支持多种身份认证方式,以及特定应用的二次认证。用户访问任何应用前,都需要进行身份认证。
三、管理
SDP运维管理更容易
每当涉及云迁移,VPN管理复杂度就会膨胀,让IT管理员不得不配置和同步不同地点的VPN及防火墙策略。这让清除不必要的访问变得更加困难。
相比在每个数据中心和云实例中配置VPN的复杂和麻烦,管理员可将每个网络资源搭载到一个SDP平台上,从此以后便在云端集中管理所有策略。
完全基于云的SDP解决方案还有另一个优势:数据中心或管理员开放了访问权的虚拟私有云(VPC)上基本就没有什么设置或维护了。所有情报和安全实施都在SDP的云端后台完成。
SDP支持用户行为审计,而VPN不能
随着移动化程度的上升,IT需要更多的可见性和管控性。安全不存在侥幸,所有网络流量都需要日志可供审计和调查。以便及时发现针对企业的各类安全威胁。
VPN无法提供详细的用户行为日志。VPN隧道建立后,只能了解接入设备的IP、端口、协议等数据,无法获知用户在应用中的具体访问行为。
深云SDP可以提供详细的用户行为日志。除了IP和端口外,SDP还可以捕获用户的身份信息、设备信息、用户位置、访问应用的响应时间等等。而且,深云SDP还提供了一套综合感知系统,以便管理员随时掌握安全态势(如下图)。
四、总结
为什么现在就要做出改变?
用户越来越多样化,你敢把VPN给供应商吗?
当今的劳动力构成日益多样化,企业越来越依赖于合同工、合作伙伴、供应商、开发人员、客户、分销渠道和其他第三方实体单位来支持他们的业务计划。此外,越来越多的用员通过越来越多的设备——台式机、笔记本电脑、手机、平板电脑、“智能”互连设备 和 BYOD(自带设备)访问公司网络。随着访问的位置、类型和方法不断扩展,用户的分组和所有请求的认证势在必行。单方面的网络级访问权限必须由逐项授权的应用程序级定制访问权限取代。
IT架构越来越复杂,VPN能搞得定吗?
随着云计算的普及度迅速攀升,企业IT架构越来越复杂,企业应用也越来越分散(本地应用、IaaS、SaaS等)。使用传统系统的公司经常通过集中式安全堆栈在WAN上回传此类云流量,然后通过直接连接或VPN重新路由回IaaS和互联网。但是,这种模式降低了应用程序性能和用户体验,增加了企业安全风险,并且提高了成本,尤其是当企业跨地域和供应商来重复架设其堆栈时,更是如此。
SDP比传统VPN更适用于安全远程访问
VPN及其庞杂的复杂性不能很好地适应当今的移动性、多样化和分布式业务的需求。SDP方案可将智能融入决策中,并管控用户、设备和位置以及访问模式,大大提高安全性。综合来看,SDP确实是适合于新时代的安全远程访问方案。