背景介紹

許多企業(yè)為了方便外部用戶或門店訪問內(nèi)部應(yīng)用，通常會把這些內(nèi)部應(yīng)用開放到公網(wǎng)上給這些用戶訪問，這樣做會有很大的安全隱患。

拿運(yùn)維工具Jenkins舉例來說，該應(yīng)用發(fā)布功能十分完善，且擁有大量的插件可以實(shí)現(xiàn)一些自定義的功能。

但也正因?yàn)椴寮谋姸啵瑢?dǎo)致該應(yīng)用會有幾十甚至上百個(gè)安全漏洞。早期筆者曾親自見證過Jenkins應(yīng)用被插件漏洞攻破，服務(wù)器被當(dāng)成了挖礦的肉雞。如何才能安全的訪問這些內(nèi)部應(yīng)用呢？

解決方案

有這么幾種方式可以實(shí)現(xiàn)：

1、SSL-VPN

首先我們需要將這些應(yīng)用從公網(wǎng)放到內(nèi)網(wǎng)里，所有外部供應(yīng)商或者是通過門店訪問的用戶通過VPN連入內(nèi)網(wǎng)，然后再訪問應(yīng)用。同時(shí)網(wǎng)絡(luò)層面要做限制，限制只能訪問這些內(nèi)部應(yīng)用。這樣就算內(nèi)部應(yīng)用有很多安全漏洞但只要你不是暴露在公網(wǎng)上，那么被攻擊的面會大大減少。

2、SD-WAN網(wǎng)絡(luò)技術(shù)

首先我們也需要將這些應(yīng)用從公網(wǎng)放到內(nèi)網(wǎng)里，如果是門店可以使用SD-WAN的設(shè)備，如果是外部供應(yīng)商可以使用SD-WAN的APP客戶端。

他比VPN功能更豐富可以做更細(xì)粒度控制。比如限流以及ACL等有些廠商甚至可以控制你連接后能訪問哪些應(yīng)用。

同時(shí)它還能有網(wǎng)絡(luò)加速的效果，這個(gè)是VPN無法做到的。當(dāng)然它的成本要比VPN高，但比專線會便宜不少。且APP客戶端計(jì)費(fèi)方式比較靈活有按客戶端數(shù)量的也有按流量計(jì)費(fèi)的。

3、零信任SDP產(chǎn)品

零信任SDP產(chǎn)品通常是以網(wǎng)關(guān)的形式進(jìn)行服務(wù)。所有要訪問的用戶需通過網(wǎng)關(guān)進(jìn)行認(rèn)證，認(rèn)證通過后才能訪問指定的應(yīng)用。沒有通過認(rèn)證的是不會返回請求數(shù)據(jù)的。

方案比較

三個(gè)方案各有優(yōu)缺點(diǎn)，我們從實(shí)際使用場景出發(fā)進(jìn)行一下對比。

總結(jié)

如果你想做供應(yīng)商安全的內(nèi)網(wǎng)訪問，并且又想節(jié)省成本的話，使用VPN比較合適。

如果你除了想做到內(nèi)網(wǎng)安全訪問，同時(shí)又有網(wǎng)絡(luò)加速的需求，使用SD-WAN網(wǎng)絡(luò)技術(shù)。

如果你無法將服務(wù)遷移到內(nèi)網(wǎng)，同時(shí)又想要做到訪問的安全，那么零信任SDP產(chǎn)品是非常合適的。