需求背景
随着移动办公和远程访问的广泛应用,分散的用户、终端和数据使得企业安全边界越来越模糊,传统的组网模式和基于边界的安全防护架构面临着前所未有的挑战。

场景实例
现状描述
一家金融公司有3000名员工,他们使用舒菲统一管理他们的账户。大部分员工每天在总部办公,RD服务器和运营支撑相关的服务部署在总部办公楼的机房。
公司对外服务业务系统部署在两个互为备份的公有云上。公有云VPC通过IPSec VPN与总部办公区互联,日常维护由总部运维工程师远程接入云服务VPC进行。
出差员工、分公司员工、合作伙伴、家庭办公员工通过SSL VPN连接总部办公区,访问内部业务;或者通过总部或云VPC的远程访问区跳转到自建服务器区,临时处理运维问题。
网络拓扑结构
需求分析
暴露的表面收敛以减少安全威胁。
VPN系统漏洞和互联网暴露问题使其容易受到攻击。需要尽可能的收敛互联网暴露,以最低的成本避免来自互联网的安全威胁。
优化体验,降低带宽成本
移动员工和不同办公区域的员工在访问云服务器资源时,必须绕过总部或接入区域的VPN网关作为跳板来访问业务资源,增加了访问延迟,导致远程访问体验差,也增加了总部办公区域出口带宽的消耗。
采用易于配置运维的细粒度策略,同时降低运维成本。
SSL VPN虽然可以通过账号密码认证,但是远程员工首先访问总部访问区域作为跳板的方式,使得无法实现网络层面的细粒度控制;只有服务器区和云VPC区可以广泛开放给总部远程访问区的网段,保证业务访问不受影响。
一旦有人通过VPN访问总部的远程访问区域,就可以在网络层面访问内部所有的服务器区域和云服务VPC,造成内部安全威胁。
有必要在网络层实现基于员工身份的更细粒度的访问控制,以降低内部入侵的风险。由于员工的组织架构通过舒菲日报进行管理,因此需要通过舒菲账户设置访问控制策略,以降低管理运维成本,提高运维响应时间。
部署拓扑

部署方案
部署TMC和TMD、域管理控制平台和域名解析服务
TMC和TMD部署在总部的服务器区域,配置内网IP地址,禁止直接访问外网。
在TMC上配置舒菲身份源,并定期同步舒菲组织结构和账号。
域安全网关TMG部署
在总部自建服务器区部署两个TMG网关,代理服务器区的所有业务资源,每个业务资源由两个TMG代理同时访问。
在总部办公室出口和公有云VPC出口配置DNAT,将TMG的UDP9527端口映射到出口IP的固定端口。
除TMG的UDP端口外,停止其他内部业务资源对互联网开放的IP地址和端口,使所有内部业务资源、TMC和TMD在局域网外不可见。
域客户端的TMA部署
员工在家、出差、分公司、渠道合作伙伴、总部办公区员工的办公终端都安装了域APP,用来接入域安全云网络。
实现效果
少走弯路,提升终端用户体验,降低企业出口带宽成本。
如上图所示,域内部署安全云网络后,虚拟网络将家庭办公员工、出差员工、分支机构员工、渠道合作伙伴、总部办公区域员工的终端,以及分布在公有云和总部服务器区域的业务资源,逻辑整合成一个点对点的全互联网络。所有用户通过点对点直连访问业务资源,无需切换不同的VPN链路,提高了访问效率。
当办公室员工、出差员工、分公司员工、渠道合作伙伴在公有云上访问业务资源时,不再需要绕过总部,而是点对点直接访问,提升了体验,减轻了总部的网点带宽压力。
所有业务资源分别由两个TMG代理代表,用户在访问业务资源时可以动态选择最佳路径,实现了网络的高性能和高可用性,为最终用户提供了稳定快速的访问体验。
网络隐身,以最小的成本避免外部安全威胁

云服务VPC和总部服务器区只通过TMG的UDP端口对外开放,所有发送到该端口的数据包都需要逐包验证,实现了业务资源网络的不可见性;
内网和互联网默认不可信,业务资源对未经认证的用户账号和终端始终不可见,从而避免了来自外部不可信网络的攻击威胁。
基于舒菲账户的全局访问控制大大减少了运维管理的工作量。
根据舒菲的组织结构或账户信息,按照最小权限原则,配置基于用户-终端-资源的网络访问授权,大大简化了配置复杂度。
所有细粒度的策略都是根据账户、终端、业务资源的实际情况实时动态计算,分布在TMA和TMG。管理员无需因人员增减而手动调整策略,减少了运维管理的工作量。


