現(xiàn)如今,隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,越來越多的重要數(shù)據(jù)和核心業(yè)務(wù)從電腦終端向手機移動端轉(zhuǎn)移。
這時就有一個問題常被提及:SSL VPN可以加密流量,HTTPS也可以加密,同樣支持RSA、AES等算法,都用443端口,并且還免費。那為什么不用HTTPS來進(jìn)行遠(yuǎn)程移動辦公接入呢?
不僅如此,在行業(yè)標(biāo)準(zhǔn)和企業(yè)信息安全規(guī)范中,如《國家電子政務(wù)外網(wǎng)安全接入平臺技術(shù)規(guī)范》,政府、金融和企業(yè)用戶都被規(guī)定使用VPN。
從算法的安全性角度來看,HTTPS、SSL VPN網(wǎng)絡(luò)層的防竊聽、防篡改的效果都差距不大。
那為什么政企單位會被嚴(yán)格要求使用VPN技術(shù)呢?
政務(wù)外網(wǎng)安全接入平臺
VPN擁有的獨特優(yōu)勢
在VPN的場景里,只要用戶能夠與VPN網(wǎng)關(guān)網(wǎng)絡(luò)互通,在經(jīng)過VPN網(wǎng)關(guān)的身份認(rèn)證、授權(quán)之后,就能訪問VPN網(wǎng)關(guān)另一側(cè)的內(nèi)網(wǎng)資源。
想要通過VPN訪問內(nèi)網(wǎng),第一關(guān)就是身份認(rèn)證。只有經(jīng)過客戶內(nèi)部認(rèn)證系統(tǒng)的身份確認(rèn)之后,才可以建立網(wǎng)絡(luò)層的連接,讓正確的人進(jìn)來。在此基礎(chǔ)上秘鑰交換、加密才有真正的價值。
越重要的業(yè)務(wù)系統(tǒng)越需要安全接入,而VPN技術(shù)的特性恰好滿足了這個需求:
- 網(wǎng)絡(luò)層準(zhǔn)入控制:無論是WiFi接入、3G/4G接入,還是有線網(wǎng)絡(luò)接入,VPN技術(shù)都能夠隨時、隨地的完成統(tǒng)一網(wǎng)絡(luò)層準(zhǔn)入控制,幫助客戶保障接入到內(nèi)網(wǎng)的用戶身份安全,例如通過利用用戶名密碼認(rèn)證、CA認(rèn)證、域控AD認(rèn)證,雙因素認(rèn)證等等手段。
- 商密算法的支持:用戶認(rèn)證、加密時使用的加密算法,可以根據(jù)客戶的需求替換成高安全性的商密SM1、SM2、SM3、SM4算法,在身份安全的基礎(chǔ)上,增強數(shù)據(jù)加密的安全性。
可以發(fā)現(xiàn),合規(guī)要求中的VPN加密接入,解決了網(wǎng)絡(luò)層準(zhǔn)入控制的核心痛點,而這一點,移動辦公客戶最看重;同時VPN可以滿足國家密碼局商密算法的要求。
VPN接入流程圖
相比SSL VPN,HTTPS弱點其實很明顯:
- HTTPS設(shè)計的出發(fā)點,默認(rèn)就是信任客戶端的,訪問Google可以不用輸入用戶名密碼,HTTPS對安全的關(guān)注都用在了驗證Google網(wǎng)站的可信度上。在默認(rèn)情況下,HTTPS是先建立加密通道,再讓應(yīng)用去驗證用戶身份;另外,HTTPS默認(rèn)只能使用國際標(biāo)準(zhǔn)的加密算法,需要高成本的底層改造才能支持國家商密算法。
- SSL VPN設(shè)計從一開始,就是不信任客戶端的,只有先驗證用戶的身份,才能繼續(xù)網(wǎng)絡(luò)協(xié)商,建立網(wǎng)絡(luò)層的加密通道;除此之外,SSL VPN可完美支持商密算法,滿足政府、金融等合規(guī)需求場景。
HTTPS好比是讓壞人和好人先進(jìn)大堂,再查工卡過閘機,此時壞人已經(jīng)進(jìn)入大堂,有了可乘之機;SSL VPN是進(jìn)大堂前,就要刷特制的工卡過閘機,只有帶特制工卡的人才能進(jìn)大堂。
除此之外,政企客戶在有多個APP時,需要開放多個HTTPS的IP/端口,而SSL VPN只需要開放一個443端口,就可以無限擴展支持多個APP上線,有效減少暴露面,極大的降低網(wǎng)絡(luò)風(fēng)險。
不難發(fā)現(xiàn),使用HTTPS的風(fēng)險更大,其設(shè)計模式讓黑客多了不少可乘之機。
深信服下一代移動專屬VPN技術(shù)
深信服深耕VPN產(chǎn)品和技術(shù)將近20年,VPN產(chǎn)品市場占有率連續(xù)11年排名第一(數(shù)據(jù)來源于:《IDC PRC Quarterly Security Appliance Tracker_2018Q4》)。深信服基于對客戶需求和產(chǎn)品技術(shù)的積累,推出了EMM EasyWork移動辦公安全方案。該方案在“移動應(yīng)用沙箱”的創(chuàng)新基礎(chǔ)上,集成了深信服特有的“下一代移動專屬VPN”技術(shù),構(gòu)建了一個真正隔離的“移動辦公空間”。
深信服移動專屬VPN有以下優(yōu)勢特點:
- 隔斷外部網(wǎng)絡(luò)“竊密”:專屬VPN建立之后,僅“移動應(yīng)用沙箱”中的APP才有權(quán)限訪問內(nèi)部網(wǎng)絡(luò),例如個人手機上感染了病毒,此病毒在網(wǎng)絡(luò)層無法通過專屬VPN滲透、感染到內(nèi)網(wǎng)。
- 阻止內(nèi)部網(wǎng)絡(luò)“泄密”:員工通過專屬VPN接入到內(nèi)網(wǎng)中后,在“移動應(yīng)用沙箱”中無法訪問非授權(quán)的互聯(lián)網(wǎng)地址,例如,被收買的內(nèi)鬼員工無法通過訪問外網(wǎng)云盤的方式泄密。
- 傳輸高安全:支持軟件、硬件方式的商密算法,對移動辦公網(wǎng)絡(luò)數(shù)據(jù)傳輸,進(jìn)行高安全加密保護(hù)。
深信服移動專屬VPN特點
深信服EMM簡介
深信服EMM是面向政府、金融、企業(yè)等客戶的移動辦公安全平臺。深信服EMM方案支持快速、穩(wěn)定的移動VPN接入,從網(wǎng)絡(luò)層確保用戶身份安全;提供安全工作桌面,與個人桌面隔離,控制復(fù)制粘貼、截屏、文件分享、文件讀取、網(wǎng)絡(luò)訪問等行為,并可選支持配發(fā)移動設(shè)備的MDM強管控,全面防范敏感數(shù)據(jù)泄密。
在實施階段,通過免SDK的自動安全封裝技術(shù),簡化實施和維護(hù)工作;在移動辦公推廣階段,便捷的應(yīng)用商店與高體驗的辦公APP,使員工有良好體驗,讓安全的移動化應(yīng)用真正用起來。
移動安全調(diào)研問卷(前五名填寫者將獲得一份精美禮品)
