現如今,隨著(zhù)互聯(lián)網(wǎng)技術(shù)的發(fā)展,越來(lái)越多的重要數據和核心業(yè)務(wù)從電腦終端向手機移動(dòng)端轉移。
這時(shí)就有一個(gè)問(wèn)題常被提及:SSL VPN可以加密流量,HTTPS也可以加密,同樣支持RSA、AES等算法,都用443端口,并且還免費。那為什么不用HTTPS來(lái)進(jìn)行遠程移動(dòng)辦公接入呢?
不僅如此,在行業(yè)標準和企業(yè)信息安全規范中,如《國家電子政務(wù)外網(wǎng)安全接入平臺技術(shù)規范》,政府、金融和企業(yè)用戶(hù)都被規定使用VPN。
從算法的安全性角度來(lái)看,HTTPS、SSL VPN網(wǎng)絡(luò )層的防竊聽(tīng)、防篡改的效果都差距不大。
那為什么政企單位會(huì )被嚴格要求使用VPN技術(shù)呢?
政務(wù)外網(wǎng)安全接入平臺
VPN擁有的獨特優(yōu)勢
在VPN的場(chǎng)景里,只要用戶(hù)能夠與VPN網(wǎng)關(guān)網(wǎng)絡(luò )互通,在經(jīng)過(guò)VPN網(wǎng)關(guān)的身份認證、授權之后,就能訪(fǎng)問(wèn)VPN網(wǎng)關(guān)另一側的內網(wǎng)資源。
想要通過(guò)VPN訪(fǎng)問(wèn)內網(wǎng),第一關(guān)就是身份認證。只有經(jīng)過(guò)客戶(hù)內部認證系統的身份確認之后,才可以建立網(wǎng)絡(luò )層的連接,讓正確的人進(jìn)來(lái)。在此基礎上秘鑰交換、加密才有真正的價(jià)值。
越重要的業(yè)務(wù)系統越需要安全接入,而VPN技術(shù)的特性恰好滿(mǎn)足了這個(gè)需求:
- 網(wǎng)絡(luò )層準入控制:無(wú)論是WiFi接入、3G/4G接入,還是有線(xiàn)網(wǎng)絡(luò )接入,VPN技術(shù)都能夠隨時(shí)、隨地的完成統一網(wǎng)絡(luò )層準入控制,幫助客戶(hù)保障接入到內網(wǎng)的用戶(hù)身份安全,例如通過(guò)利用用戶(hù)名密碼認證、CA認證、域控AD認證,雙因素認證等等手段。
- 商密算法的支持:用戶(hù)認證、加密時(shí)使用的加密算法,可以根據客戶(hù)的需求替換成高安全性的商密SM1、SM2、SM3、SM4算法,在身份安全的基礎上,增強數據加密的安全性。
可以發(fā)現,合規要求中的VPN加密接入,解決了網(wǎng)絡(luò )層準入控制的核心痛點(diǎn),而這一點(diǎn),移動(dòng)辦公客戶(hù)最看重;同時(shí)VPN可以滿(mǎn)足國家密碼局商密算法的要求。
VPN接入流程圖
相比SSL VPN,HTTPS弱點(diǎn)其實(shí)很明顯:
- HTTPS設計的出發(fā)點(diǎn),默認就是信任客戶(hù)端的,訪(fǎng)問(wèn)Google可以不用輸入用戶(hù)名密碼,HTTPS對安全的關(guān)注都用在了驗證Google網(wǎng)站的可信度上。在默認情況下,HTTPS是先建立加密通道,再讓?xiě)萌ヲ炞C用戶(hù)身份;另外,HTTPS默認只能使用國際標準的加密算法,需要高成本的底層改造才能支持國家商密算法。
- SSL VPN設計從一開(kāi)始,就是不信任客戶(hù)端的,只有先驗證用戶(hù)的身份,才能繼續網(wǎng)絡(luò )協(xié)商,建立網(wǎng)絡(luò )層的加密通道;除此之外,SSL VPN可完美支持商密算法,滿(mǎn)足政府、金融等合規需求場(chǎng)景。
HTTPS好比是讓壞人和好人先進(jìn)大堂,再查工卡過(guò)閘機,此時(shí)壞人已經(jīng)進(jìn)入大堂,有了可乘之機;SSL VPN是進(jìn)大堂前,就要刷特制的工卡過(guò)閘機,只有帶特制工卡的人才能進(jìn)大堂。
除此之外,政企客戶(hù)在有多個(gè)APP時(shí),需要開(kāi)放多個(gè)HTTPS的IP/端口,而SSL VPN只需要開(kāi)放一個(gè)443端口,就可以無(wú)限擴展支持多個(gè)APP上線(xiàn),有效減少暴露面,極大的降低網(wǎng)絡(luò )風(fēng)險。
不難發(fā)現,使用HTTPS的風(fēng)險更大,其設計模式讓黑客多了不少可乘之機。
深信服下一代移動(dòng)專(zhuān)屬VPN技術(shù)
深信服深耕VPN產(chǎn)品和技術(shù)將近20年,VPN產(chǎn)品市場(chǎng)占有率連續11年排名第一(數據來(lái)源于:《IDC PRC Quarterly Security Appliance Tracker_2018Q4》)。深信服基于對客戶(hù)需求和產(chǎn)品技術(shù)的積累,推出了EMM EasyWork移動(dòng)辦公安全方案。該方案在“移動(dòng)應用沙箱”的創(chuàng )新基礎上,集成了深信服特有的“下一代移動(dòng)專(zhuān)屬VPN”技術(shù),構建了一個(gè)真正隔離的“移動(dòng)辦公空間”。
深信服移動(dòng)專(zhuān)屬VPN有以下優(yōu)勢特點(diǎn):
- 隔斷外部網(wǎng)絡(luò )“竊密”:專(zhuān)屬VPN建立之后,僅“移動(dòng)應用沙箱”中的APP才有權限訪(fǎng)問(wèn)內部網(wǎng)絡(luò ),例如個(gè)人手機上感染了病毒,此病毒在網(wǎng)絡(luò )層無(wú)法通過(guò)專(zhuān)屬VPN滲透、感染到內網(wǎng)。
- 阻止內部網(wǎng)絡(luò )“泄密”:?jiǎn)T工通過(guò)專(zhuān)屬VPN接入到內網(wǎng)中后,在“移動(dòng)應用沙箱”中無(wú)法訪(fǎng)問(wèn)非授權的互聯(lián)網(wǎng)地址,例如,被收買(mǎi)的內鬼員工無(wú)法通過(guò)訪(fǎng)問(wèn)外網(wǎng)云盤(pán)的方式泄密。
- 傳輸高安全:支持軟件、硬件方式的商密算法,對移動(dòng)辦公網(wǎng)絡(luò )數據傳輸,進(jìn)行高安全加密保護。
深信服移動(dòng)專(zhuān)屬VPN特點(diǎn)
深信服EMM簡(jiǎn)介
深信服EMM是面向政府、金融、企業(yè)等客戶(hù)的移動(dòng)辦公安全平臺。深信服EMM方案支持快速、穩定的移動(dòng)VPN接入,從網(wǎng)絡(luò )層確保用戶(hù)身份安全;提供安全工作桌面,與個(gè)人桌面隔離,控制復制粘貼、截屏、文件分享、文件讀取、網(wǎng)絡(luò )訪(fǎng)問(wèn)等行為,并可選支持配發(fā)移動(dòng)設備的MDM強管控,全面防范敏感數據泄密。
在實(shí)施階段,通過(guò)免SDK的自動(dòng)安全封裝技術(shù),簡(jiǎn)化實(shí)施和維護工作;在移動(dòng)辦公推廣階段,便捷的應用商店與高體驗的辦公APP,使員工有良好體驗,讓安全的移動(dòng)化應用真正用起來(lái)。
移動(dòng)安全調研問(wèn)卷(前五名填寫(xiě)者將獲得一份精美禮品)
