越來越多的員工在咖啡館、機(jī)場和家里工作，數(shù)據(jù)泄露的代價不斷增加基于邊界的VPN所造成的安全顧慮。于是，公司企業(yè)紛紛將目光投向其他替代技術(shù)，比如使用零信任模型的軟件定義邊界(SDP)。

[[245280]]

基于邊界的虛擬專用網(wǎng)(VPN)全球部署，為分布全球的員工和承包商提供企業(yè)網(wǎng)絡(luò)接入支持。到目前為止，VPN仍是較好的遠(yuǎn)程訪問解決方案。

但是，一旦授權(quán)，VPN用戶便對企業(yè)網(wǎng)絡(luò)上的資源擁有過于寬泛的訪問權(quán)限。這種要么能完全訪問，要么根本不能訪問的模式，令敏感資源及信息可能暴露在VPN用戶和攻擊者面前。

因此，更具競爭力的安全遠(yuǎn)程訪問選項(xiàng)——軟件定義邊界解決方案(SDP)，便開始火熱起來。SDP能確?；陬A(yù)設(shè)策略就具體應(yīng)用的訪問，而不是對整個網(wǎng)絡(luò)的訪問，對用戶進(jìn)行身份驗(yàn)證和授權(quán)。

鑒于SDP在安全性、可擴(kuò)展性、可靠性和靈活性上的創(chuàng)新，公司企業(yè)有十大理由需要重新考慮如何進(jìn)行安全遠(yuǎn)程訪問。

1. 傳統(tǒng)VPN安全問題

員工移動性大幅增加和云遷移盛行的時代，公司企業(yè)保護(hù)邊界安全的難度越來越大，企業(yè)安全岌岌可危。傳統(tǒng)VPN訪問太過放任，遠(yuǎn)程員工得到的授權(quán)遠(yuǎn)超完成工作所需。因此，網(wǎng)絡(luò)資源被不必要地暴露出來，為攻擊者大開了方便之門。

2. 用戶適用零信任遠(yuǎn)程訪問，而網(wǎng)絡(luò)仍是隔離的

相比VPN，SDP安全優(yōu)勢多多。首先，SDP沒有信任區(qū)。IT管理員必須顯式授權(quán)用戶訪問特定應(yīng)用。除了這些為用戶設(shè)備創(chuàng)建的指定單對單連接，所有其他網(wǎng)絡(luò)資源對用戶都是完全不可見的。

某些SDP解決方案會采用基于身份的聯(lián)網(wǎng)技術(shù)在數(shù)據(jù)包層級為用戶或設(shè)備持續(xù)認(rèn)證。安全不存在僥幸，所有網(wǎng)絡(luò)流量都有日志可供審計和調(diào)查。

3. 不可靠的終端用戶體驗(yàn)

用過企業(yè)VPN的人就知道，速度慢和不可靠是常見現(xiàn)象。如果在多個地點(diǎn)使用應(yīng)用，不斷重連和斷開的體驗(yàn)令人心生惱怒，而且根據(jù)所需應(yīng)用不同，用戶還得跟蹤記錄自己都是在哪兒登錄的。

4. SDP連接一次即可訪問所需全部應(yīng)用

采用恰當(dāng)?shù)腟DP解決方案，終端用戶只需連接一次即可訪問所需應(yīng)用——無論身處何方，用戶體驗(yàn)更好。針對非托管個人設(shè)備、承包商、合作伙伴及客戶，基于瀏覽器的無代理解決方案能令應(yīng)用訪問盡可能的簡單。

5. 管理難題

每當(dāng)涉及云遷移，VPN管理復(fù)雜度就會膨脹，讓IT管理員不得不配置和同步不同地點(diǎn)的VPN及防火墻策略。這讓清除不必要的訪問變得更加困難。

6. 現(xiàn)場VPN配置 vs SDP即服務(wù)方法

相比在每個數(shù)據(jù)中心和云實(shí)例中配置VPN的復(fù)雜和麻煩，管理員可將每個網(wǎng)絡(luò)資源搭載到一個SDP平臺上，從此以后便在云端集中管理所有策略。完全基于云的SDP解決方案還有另一個優(yōu)勢：數(shù)據(jù)中心或管理員開放了訪問權(quán)的虛擬私有云(VPC)上基本就沒有什么設(shè)置或維護(hù)了。所有情報和安全實(shí)施都在云端完成。

7. 缺乏負(fù)擔(dān)得起的擴(kuò)展

隨著公司企業(yè)要求更多用戶連接和跨多云實(shí)例部署，VPN/防火墻的成本隨所需許可和更高端設(shè)備的增加而快速上升?？蓴U(kuò)展性以巨額開支為代價。

8. 不受限的增長潛力

云原生SDP解決方案中，擴(kuò)展從來不是個問題。無論需連接的用戶數(shù)有多少，無論需被訪問的應(yīng)用有多少，SDP解決方案都有能力在云端無縫擴(kuò)展，無需高價購買硬件。

9. 靈活性的代價

VPN可被用于連接多個站點(diǎn)、數(shù)據(jù)中心和虛擬私有云(VPC)，具有靈活性。但這些連接選項(xiàng)卻是資源密集型的，有可能推高成本。

10. 任意連接，拒絕復(fù)雜

軟件定義邊界解決方案可供員工更高效地連接IT資源，既無需增加硬件成本，也無需復(fù)雜冗長的管理。

總結(jié)

了解安全遠(yuǎn)程訪問的現(xiàn)實(shí)可以推動向云邁進(jìn)的公司企業(yè)采用軟件定義邊界解決方案。SDP在用戶和資源間實(shí)現(xiàn)單對單的定制網(wǎng)絡(luò)訪問策略。未授權(quán)用戶看不到資源，減少了潛在攻擊面。SDP以人為中心的方法更可管理，更普遍、安全和敏捷，所帶來的好處遠(yuǎn)遠(yuǎn)超過傳統(tǒng)現(xiàn)場VPN的。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文