這段時間,坐在家裡,打開筆記本,登上VPN,開啟雲服務,加入多方語音會話等,已成為很多人新的工作流程。受疫情影響,為減少早晚通勤、集中辦公帶來的傳播風險,全國幾億人開啟了遠程辦公模式。全員遠程辦公來的太快,大部分企業甚至還沒有完全準備好就被動開始了。這個看似比較簡單的場景,卻隱藏了太多的安全風險。
遠程辦公場景下的風險
在遠程辦公場景下,很多人會選擇使用自己的私人電腦或者是家中的老電腦、手機、pad等移動設備,通過VPN或遠程桌面等方式連接到企業內網,還會涉及文件傳輸、下載及遠程登陸等操作。由於很多個人設備版本老舊、安全防護基礎薄弱,存在病毒木馬攻擊、數據洩露等風險,一旦被有心人利用,將會對企業造成嚴重的損害。
舉個熱乎的例子:
今天早上,某科技公司發佈故障通告,稱某核心運維人員通過個人VPN登入公司內網跳板機,因個人精神、生活等原因對企業線上生產環境進行惡意破壞。該行為導致企業SaaS業務數據出現故障,大面積服務集群無法響應,生產環境及數據遭受嚴重破壞,業務系統宕機36小時。
除了此類內部員工權限不規範導致的問題外,還有很多是由於員工個人安全意識不強所導致的安全事件。在疫情期間全員遠程辦公的模式下,以上這些問題更是會放大數倍。
圖:遠程辦公風險點示意
如上圖所示,我們總結了幾個發生概率較高的風險點:
- 終端設備
員工的個人設備缺乏完善的安全保護,由於疏於網絡安全防控的意識,極有可能被植入木馬,黑客通過遠控的模式進入內網並進行數據的爬取,或者在線上進行高危操作。
- 家用路由器
很多人可能只意識到了公共WIFI的安全隱患,殊不知家用路由器也已成為黑客攻擊的重災區。黑客可利用路由器進行DNS的劫持、數據報文的攔截分析,明文信息也可被黑客獲取到。同時,黑客通過DNS劫持,可以將用戶的操作引導到惡意釣魚網站上,並進行信息的竊取。
- 內網權限不規範
如果內網權限設置不當,一個普通的惡意用戶就可以造成不可挽回的損失。當一個惡意用戶通過種種方式侵入了內網,如果權限控制不當,他甚至可以獲取到公司內網的所有數據,並進行肆意破壞。
此外,黑客有可能通過社會工程、釣魚網站等方式竊取公司機密。2016年3月,UCloud某員工收到了一個網名為Benjurry.ji的微信詢問,要求拉取公司所有員工的身份信息。經過該員工反覆確認後,發現這是一個冒充公司創始人的微信號。此外,員工郵箱、手機也都是可能的數據洩漏點。
說了這麼多,如果來避免上述問題呢?
為了建立綠色的遠程辦公通道,使員工安全便捷地訪問公司內網資源,使用VPN技術是最合適的選擇。
VPN技術簡介
什麼是VPN技術?
VPN即虛擬專用網絡,在公用網絡上建立專用網絡進行加密通訊。異地員工如需接入公司內網,可通過當地互聯網連接VPN服務器,然後進入企業內網。在此過程中,所有通訊數據都進行了加密處理,就如同專門架設了專用網絡一樣,但實際上VPN使用的是互聯網上的公用鏈路,因此VPN稱為虛擬專用網絡,
其本質上就是利用加密技術在公網上封裝出一個數據通訊隧道。當前存在許多不同的VPN技術,如果按照業務用途可以將VPN分為“站點到站點VPN”和“端到站點VPN”兩類。
“站點到站點VPN”常用於兩個公司之間的網絡互通,典型的場景是總部和分支之間,比如IPSec VPN、SSL VPN、L2TP VPN等。“端到站點VPN”常用於遠程辦公人員和公司網絡互通,比如PPTP VPN、L2TP VPN、SSL VPN等。
方便快捷搭建遠程辦公環境
為了解決遠程辦公的問題,很多企業都會接入VPN,實現用戶隨時隨地遠程訪問。對於企業而言要麼花費昂貴的費用採購商業軟硬件,要麼使用開源免費軟件一步步自己搭建並調試,在疫情這種緊急情況下兩種方式都很難滿足業務對交付時間的緊迫需求。
UCloud提供了豐富的網絡和安全產品,可以方便快捷的搭建一套安全遠程辦公環境。我們用一個典型的例子來查看:
圖:遠程辦公接入安全互聯示意
如上圖,要搭建一個安全的遠程辦公環境,需要以下幾個步驟:
1、終端用戶如何安全訪問內網?
首先需要用VPN來進行登錄。
UCloud提供VPC和路由表產品可快速搭建一套SSL VPN,結合自定義路由表,即可實現一套OpenVPN的搭建。其中,我們還提供 SSL證書產品,該證書可以對OpenVPN的服務器進行認證,避免出現網絡劫持,導致數據洩露。
圖:UCloud控制檯USSL證書操作示意
2、如何實現VPN網關的保護?
UCloud支持DDoS攻擊防護等雲安全產品,SSL VPN網關可以避免被DDoS攻擊,保證遠程辦公環境的穩定,此處暫不做贅述。
3、如何實現內網的權限控制和安全?
UCloud的堡壘機產品和數據庫審計產品,可以很好的滿足數據庫操作、運維操作的審計和權限控制。
堡壘機產品可為用戶提供集中運維管理解決方案:運維人員通過堡壘機遠程訪問雲主機(UHost)和混合雲服務器,實現對訪問賬號集中管理,並做精細的權限規劃和運維審計,提升企業內部風控水平。
圖:UCloud堡壘機產品示意
數據庫審計產品可對數據庫日誌進行審查,從而跟蹤各種對數據庫操作的行為。此外,也可以通過精細的權限規劃,實現對數據庫操作行為的控制。
圖:UCloud數據庫審計產品示意
此外,UCloud的VPC提供了VPC的默認隔離、VPC聯通、ACL等功能,可以通過適當的規劃,實現服務器之間的聯通和隔離,通過VPC、子網、ACL的劃分和設定,實現更好的安全域控制。
4、如何實現雲和IDC的快捷互聯?
UCloud提供IPSec VPN網關產品具備可容災的高可用VPN服務功能,配合用戶在UCloud的VPC、用戶的本地網關及公網服務三者共同使用。用戶可選用多種加密及認證算法,保證隧道的安全可靠。用戶可使用自己的邊緣防火牆,與公有云建立隧道,安全上雲。
圖:UCloud控制檯IPSec VPN操作示意
此外,UCloud還提供了軟硬件結合的上雲解決方案。智能接入網關是基於智能硬件的一站式上雲方案,客戶通過購買 UCloud 提供的專用硬件設備,簡單配置後,通過 Internet 實現就近接入、加密上雲。同時結合 UCloud 提供的 VPC 自定義路由能力,依託 UCloud骨幹網,實現一點接入、多點互通。
這樣用戶的IDC也可以與雲上建立安全連接,利用SSL VPN接入、堡壘機、數據庫審計實現運維和權限控制,VPC實現安全隔離,利用雲的防護能力保證遠程辦公的安全。
結語
疫情讓我們清醒的認識到,時代的齒輪是如何巨大的影響每個人的工作和生活。雲計算作為未來世界中的水和電,也必將承擔更多的作用,為企業解決各類黑天鵝事件帶來的問題,為企業業務的正常運營保駕護航。
閱讀更多 大U的技術課堂 的文章
