防疫不停工:UCloud远程办公接入安全指南
星期五, 二月 28, 2020
这段时间,坐在家里,打开笔记本,登上VPN,开启云服务,加入多方语音会话等,已成为很多人新的工作流程。受疫情影响,为减少早晚通勤、集中办公带来的传播风险,全国几亿人开启了远程办公模式。全员远程办公来的太快,大部分企业甚至还没有完全准备好就被动开始了。这个看似比较简单的场景,却隐藏了太多的安全风险。
在远程办公场景下,很多人会选择使用自己的私人电脑或者是家中的老电脑、手机、pad等移动设备,通过VPN或远程桌面等方式连接到企业内网,还会涉及文件传输、下载及远程登陆等操作。由于很多个人设备版本老旧、安全防护基础薄弱,存在病毒木马攻击、数据泄露等风险,一旦被有心人利用,将会对企业造成严重的损害。
举个热乎的例子:
今天早上,某科技公司发布故障通告,称某核心运维人员通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对企业线上生产环境进行恶意破坏。该行为导致企业SaaS业务数据出现故障,大面积服务集群无法响应,生产环境及数据遭受严重破坏,业务系统宕机36小时。
除了此类内部员工权限不规范导致的问题外,还有很多是由于员工个人安全意识不强所导致的安全事件。在疫情期间全员远程办公的模式下,以上这些问题更是会放大数倍。
图:远程办公风险点示意
如上图所示,我们总结了几个发生概率较高的风险点:
员工的个人设备缺乏完善的安全保护,由于疏于网络安全防控的意识,极有可能被植入木马,黑客通过远控的模式进入内网并进行数据的爬取,或者在线上进行高危操作。
很多人可能只意识到了公共WIFI的安全隐患,殊不知家用路由器也已成为黑客攻击的重灾区。黑客可利用路由器进行DNS的劫持、数据报文的拦截分析,明文信息也可被黑客获取到。同时,黑客通过DNS劫持,可以将用户的操作引导到恶意钓鱼网站上,并进行信息的窃取。
如果内网权限设置不当,一个普通的恶意用户就可以造成不可挽回的损失。当一个恶意用户通过种种方式侵入了内网,如果权限控制不当,他甚至可以获取到公司内网的所有数据,并进行肆意破坏。
此外,黑客有可能通过社会工程、钓鱼网站等方式窃取公司机密。2016年3月,UCloud某员工收到了一个网名为Benjurry.ji的微信询问,要求拉取公司所有员工的身份信息。经过该员工反复确认后,发现这是一个冒充公司创始人的微信号。此外,员工邮箱、手机也都是可能的数据泄漏点。
说了这么多,如果来避免上述问题呢?
为了建立绿色的远程办公通道,使员工安全便捷地访问公司内网资源,使用VPN技术是最合适的选择。
什么是VPN技术?
VPN即虚拟专用网络,在公用网络上建立专用网络进行加密通讯。异地员工如需接入公司内网,可通过当地互联网连接VPN服务器,然后进入企业内网。在此过程中,所有通讯数据都进行了加密处理,就如同专门架设了专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其本质上就是利用加密技术在公网上封装出一个数据通讯隧道。
当前存在许多不同的VPN技术,如果按照业务用途可以将VPN分为“站点到站点VPN”和“端到站点VPN”两类。
“站点到站点VPN”常用于两个公司之间的网络互通,典型的场景是总部和分支之间,比如IPSec VPN、SSL VPN、L2TP VPN等。“端到站点VPN”常用于远程办公人员和公司网络互通,比如PPTP VPN、L2TP VPN、SSL VPN等。
为了解决远程办公的问题,很多企业都会接入VPN,实现用户随时随地远程访问。对于企业而言要么花费昂贵的费用采购商业软硬件,要么使用开源免费软件一步步自己搭建并调试,在疫情这种紧急情况下两种方式都很难满足业务对交付时间的紧迫需求。
UCloud提供了丰富的网络和安全产品,可以方便快捷的搭建一套安全远程办公环境。我们用一个典型的例子来查看:
图:远程办公接入安全互联示意
如上图,要搭建一个安全的远程办公环境,需要以下几个步骤:
首先需要用VPN来进行登录。
UCloud提供VPC和路由表产品可快速搭建一套SSL VPN,结合自定义路由表,即可实现一套OpenVPN的搭建。其中,我们还提供 SSL证书产品,该证书可以对OpenVPN的服务器进行认证,避免出现网络劫持,导致数据泄露。
图:UCloud控制台USSL证书操作示意
UCloud支持DDoS攻击防护等云安全产品,SSL VPN网关可以避免被DDoS攻击,保证远程办公环境的稳定,此处暂不做赘述。
UCloud的堡垒机产品和数据库审计产品,可以很好的满足数据库操作、运维操作的审计和权限控制。
堡垒机产品可为用户提供集中运维管理解决方案:运维人员通过堡垒机远程访问云主机(UHost)和混合云服务器,实现对访问账号集中管理,并做精细的权限规划和运维审计,提升企业内部风控水平。
图:UCloud堡垒机产品示意
数据库审计产品可对数据库日志进行审查,从而跟踪各种对数据库操作的行为。此外,也可以通过精细的权限规划,实现对数据库操作行为的控制。
图:UCloud数据库审计产品示意
此外,UCloud的VPC提供了VPC的默认隔离、VPC联通、ACL等功能,可以通过适当的规划,实现服务器之间的联通和隔离,通过VPC、子网、ACL的划分和设定,实现更好的安全域控制。
UCloud提供IPSec VPN网关产品具备可容灾的高可用VPN服务功能,配合用户在UCloud的VPC、用户的本地网关及公网服务三者共同使用。用户可选用多种加密及认证算法,保证隧道的安全可靠。用户可使用自己的边缘防火墙,与公有云建立隧道,安全上云。
图:UCloud控制台IPSec VPN操作示意
此外,UCloud还提供了软硬件结合的上云解决方案。智能接入网关是基于智能硬件的一站式上云方案,客户通过购买 UCloud 提供的专用硬件设备,简单配置后,通过 Internet 实现就近接入、加密上云。同时结合 UCloud 提供的 VPC 自定义路由能力,依托 UCloud骨干网,实现一点接入、多点互通。
这样用户的IDC也可以与云上建立安全连接,利用SSL VPN接入、堡垒机、数据库审计实现运维和权限控制,VPC实现安全隔离,利用云的防护能力保证远程办公的安全。
疫情让我们清醒的认识到,时代的齿轮是如何巨大的影响每个人的工作和生活。云计算作为未来世界中的水和电,也必将承担更多的作用,为企业解决各类黑天鹅事件带来的问题,为企业业务的正常运营保驾护航。