零信任远程访问

核心提示需求背景随着移动办公和远程接入的广泛应用,分散的用户、终端和数据使得企业安全边界越来越模糊,传统的组网方式和基于边界的安全防护架构都受到前所未有的挑战。场景实例现状描述某金融公司员工规模3000人,使用飞书统一管理帐号,大部分员工日常都在总

需求背景

随着移动办公和远程访问的广泛应用,分散的用户、终端和数据使得企业安全边界越来越模糊,传统的组网模式和基于边界的安全防护架构面临着前所未有的挑战。

场景实例

现状描述

一家金融公司有3000名员工,他们使用舒菲统一管理他们的账户。大部分员工每天在总部办公,RD服务器和运营支撑相关的服务部署在总部办公楼的机房。

公司对外服务业务系统部署在两个互为备份的公有云上。公有云VPC通过IPSec VPN与总部办公区互联,日常维护由总部运维工程师远程接入云服务VPC进行。

出差员工、分公司员工、合作伙伴、家庭办公员工通过SSL VPN连接总部办公区,访问内部业务;或者通过总部或云VPC的远程访问区跳转到自建服务器区,临时处理运维问题。

网络拓扑结构

需求分析

暴露的表面收敛以减少安全威胁。

VPN系统漏洞和互联网暴露问题使其容易受到攻击。需要尽可能的收敛互联网暴露,以最低的成本避免来自互联网的安全威胁。

优化体验,降低带宽成本

移动员工和不同办公区域的员工在访问云服务器资源时,必须绕过总部或接入区域的VPN网关作为跳板来访问业务资源,增加了访问延迟,导致远程访问体验差,也增加了总部办公区域出口带宽的消耗。

采用易于配置运维的细粒度策略,同时降低运维成本。

SSL VPN虽然可以通过账号密码认证,但是远程员工首先访问总部访问区域作为跳板的方式,使得无法实现网络层面的细粒度控制;只有服务器区和云VPC区可以广泛开放给总部远程访问区的网段,保证业务访问不受影响。

一旦有人通过VPN访问总部的远程访问区域,就可以在网络层面访问内部所有的服务器区域和云服务VPC,造成内部安全威胁。

有必要在网络层实现基于员工身份的更细粒度的访问控制,以降低内部入侵的风险。由于员工的组织架构通过舒菲日报进行管理,因此需要通过舒菲账户设置访问控制策略,以降低管理运维成本,提高运维响应时间。

部署拓扑

部署方案

部署TMC和TMD、域管理控制平台和域名解析服务

TMC和TMD部署在总部的服务器区域,配置内网IP地址,禁止直接访问外网。

在TMC上配置舒菲身份源,并定期同步舒菲组织结构和账号。

域安全网关TMG部署

在总部自建服务器区部署两个TMG网关,代理服务器区的所有业务资源,每个业务资源由两个TMG代理同时访问。

在总部办公室出口和公有云VPC出口配置DNAT,将TMG的UDP9527端口映射到出口IP的固定端口。

除TMG的UDP端口外,停止其他内部业务资源对互联网开放的IP地址和端口,使所有内部业务资源、TMC和TMD在局域网外不可见。

域客户端的TMA部署

员工在家、出差、分公司、渠道合作伙伴、总部办公区员工的办公终端都安装了域APP,用来接入域安全云网络。

实现效果

少走弯路,提升终端用户体验,降低企业出口带宽成本。

如上图所示,域内部署安全云网络后,虚拟网络将家庭办公员工、出差员工、分支机构员工、渠道合作伙伴、总部办公区域员工的终端,以及分布在公有云和总部服务器区域的业务资源,逻辑整合成一个点对点的全互联网络。所有用户通过点对点直连访问业务资源,无需切换不同的VPN链路,提高了访问效率。

当办公室员工、出差员工、分公司员工、渠道合作伙伴在公有云上访问业务资源时,不再需要绕过总部,而是点对点直接访问,提升了体验,减轻了总部的网点带宽压力。

所有业务资源分别由两个TMG代理代表,用户在访问业务资源时可以动态选择最佳路径,实现了网络的高性能和高可用性,为最终用户提供了稳定快速的访问体验。

网络隐身,以最小的成本避免外部安全威胁

云服务VPC和总部服务器区只通过TMG的UDP端口对外开放,所有发送到该端口的数据包都需要逐包验证,实现了业务资源网络的不可见性;

内网和互联网默认不可信,业务资源对未经认证的用户账号和终端始终不可见,从而避免了来自外部不可信网络的攻击威胁。

基于舒菲账户的全局访问控制大大减少了运维管理的工作量。

根据舒菲的组织结构或账户信息,按照最小权限原则,配置基于用户-终端-资源的网络访问授权,大大简化了配置复杂度。

所有细粒度的策略都是根据账户、终端、业务资源的实际情况实时动态计算,分布在TMA和TMG。管理员无需因人员增减而手动调整策略,减少了运维管理的工作量。

 
友情链接
鄂ICP备19019357号-22