关键词:VPN、远程办公、细粒度授权、风险评估、兼容性
内容摘要:2020年特殊时期爆发的远程办公需求,让许多企业意识到传统VPN远程办公方案的不足。零信任远程办公方案与之相比有多方优势,本文将从网络连通性、安全性与授权问题、多平台兼容性、易用性与维护成本几方面将两者客观比较,分析利弊。
有人说2020年,将成为中国远程办公元年。此次特殊时期的远程办公需求,可能对于部分中小企业,依靠企微、钉钉、Zoom、Teambition等办公应用就足够了,而对于很多中大型企业来说,存在大量员工远程回连到企业本地的业务/生产系统的需求,例如研发人员需要使用测试机、内网研发环境,设计人员需要使用内网设备完成视频渲染、图像处理等。但是在实践中,远程办公存在诸多问题,例如家庭网络连不上VPN,多人同时在线VPN时出现频频掉线问题,众多企业已经意识到,企业办公的数字化转型需要加速。然而,除了依靠VPN,企业有没有更好的远程办公模式可用?
2011年起,Google发起BeyondCorp项目,目标为“让所有Google员工从不受信任的网络中不接入VPN就能顺利工作”。2014年,BeyondCorp项目已步入实践阶段,并发表了多篇论文共享其建设理念与实践经验。
谷歌希望打造的办公网络兼具便捷性与安全性。为了提高远程办公的便捷性,让全球各地的员工可以通过各种终端设备有效办公,谷歌决定打破内外网边界,并逐步将应用放到公网,但这也伴随着诸多风险,例如网络安全状态不受控,数据传输容易监听、抓包,容易受到扫描攻击。为了控制相应产生的安全风险,BeyondCorp中的零信任组件对任意用户或设备的每次访问连接均会先进行认证,只有安全的终端环境、受信任的设备、经过认证的用户可以访问与其授权相恰的业务数据。这种默认不信任任何用户与设备,永远实时验证的机制,也是零信任的核心思想体现。
图1:谷歌BeyondCorp项目架构图
据了解,谷歌BeyondCorp建设,没有完全打破内外网界限,仍然有部分核心资产需要回连到内网才可访问,但其大部分办公应用已实现了全球任意地点、任意设备均可通过Internet访问,员工远程办公对VPN的依赖已极大程度的削弱。下面,我们将从网络连通性、安全性与授权问题、多平台兼容性、易用性与维护成本几个维度,来客观比较下,目前通用的VPN远程办公方案与零信任远程办公方案。
网络连通性
主流VPN主要有以下几类:工作在网络层的IPSec VPN,基于PPP协议的L2TP VPN。和工作在应用层的SSL VPN。
首先,国内运营商网络的多层NAT影响了VPN的client to site模式的应用,使得家庭带宽用户很难分配到公网IP,所以在家庭远程办公的场景下,NAT次数通常两层起,而IPSec VPN的IKE协商需要服务端特殊配置,所以在国内环境下,以IPSec VPN为代表的,包括L2TP VPN等工作在四层以下的VPN协议的可用性被大大削弱。
SSL VPN是采用SSL(Security Socket Layer,安全套接层)协议实现远程接入的VPN,它被认为是取代IPSec VPN的下一代VPN。相对于传统的IPSEC VPN而言,SSL VPN具有部署简单、维护成本低,网络跨越能力强等特点。如果只访问web资源,可以直接通过反向代理方式访问,不需要建立隧道。但如果是其他类资源,则需要在客户端安装软件或插件,以此实现拨号。目前,SSL VPN是应用最广泛,也是公认运行最稳定的VPN。
零信任远程办公方案中,主要依靠反向代理来实现各地用户对映射到公网的资源快速访问。由于不需要建隧道,所以不存在多层NAT导致连通性不佳的问题,也不存在客户必须安装客户端插件/软件才能实现拨号的问题,任何网络只要能正常访问Internet,就能通过零信任的反向代理网关访问到办公资源,所以零信任远程办公对网络质量要求不高。所以笔者认为,从整体来看,零信任远程办公的网络连通性是优于VPN的。
安全性与授权问题
VPN的安全性一直是被挑战的问题。
微盟的删库跑路事件让人们再次质疑VPN远程办公的安全度,并且质疑:为什么该人员可以有权限轻松地彻底删除如此重要的数据库?这里是否存在员工权限管控缺失、关键行为监控不力的问题?
除了上面所说的内部人员所为导致的安全问题,其实VPN本身也一直并非100%安全的存在。
首先,VPN与零信任在认证方面有不同的设计。以SSL VPN为例,用户访问应用时,现在VPN鉴权,账号登录成功后,即会建立SSL VPN隧道,VPN下发IP地址、路由到终端。之后VPN会维持该隧道,并基于IP和端口进行访问权限控制。除非掉线重新登陆,否则不会有第二次校验。而零信任体系是要持续校验用户、设备、授权的。
再论隧道加密,GRE VPN、L2TP VPN、PPTP VPN等此类只负责协商、建立隧道,但不对隧道传输内容加密的VPN,可以说其安全性极低,存在资料在传输过程中被窃取的风险。即使用了IPSec VPN,无论是CBC,DES,还是AES算法,都是可以被破解的加密算法,加密复杂度不足。相对而言,SSL加密是目前公认最安全的。
除了上面说到的不加密,或者加密复杂度不足的问题,我们也耳闻不少员工设备遗失导致VPN登入信息泄露,或是VPN登入信息被盗而导致的资安事故。很多时公司为了方便员工存取VPN,大多数均会于入职时替员工的流动设备设定好VPN联机,而IT部门为了减少用户查询,少不免会直接把登入信息储存,让员工可以一键连接到VPN。而此时如果设备丢失或者登入信息被破解,入侵内网的难度就已经极低了。这里的风险与VPN目前的接入认证方式单一有关,目前VPN以静态密码或OTP认证居多,如果采用更复杂的多因子认证,即使设备丢失或密码遗失,仍然有其他方式会校验访问者身份。
最后,就是老生常谈的授权问题了。IPSec VPN等工作在四层以下的VPN只能基于IP做访问控制,控制粒度粗,SSL VPN控制粒度相对而言更细,可以在URL上做群组访问控制,但也不满足部分企业对功能级、API级、数据级的授权管控要求,更难做到动态授权。
零信任远程办公方案在安全性上,就比VPN远程办公方案多出了许多优势项了,主要有以下几个方面:
• 访问零信任化:
通过账户、应用、认证授权统一管理,实现所有用户接入前统一认证,即先认证、再连接。通过这种方式隐藏应用,也可以有效减少业务暴露面,攻击者无法扫描端口探测资产,极大降低了安全风险;
• 多层级细粒度的授权:
零信任远程办公方案具备细粒度多层级的的授权控制能力,支持基于用户角色授权,也支持应用级、功能级、API级、数据级多层级细粒度授权,用户只能看到访问与其授权相恰的应用、功能和数据,实现全面最小化授权;
• 动态风险评估:
零信任方案的一大先进性在于实时评估终端环境、设备等安全风险系数,再据此调整信任等级和认证授权结果。对用户做持续实时的异常行为分析,一旦发现异常行为则授权降级,形成事件响应闭环;
• 统一多因素认证:
多因素认证已经被验证为大幅提升资产安全性的方式,没有一种身份识别技术是万能的,但结合起来时却能本质上提升安全等级,大幅提升黑客的攻克难度。
多平台兼容性
你是否也发现了,苹果手机应用商店里已经没有几家商用VPN还处于上架状态了。这里就牵涉到VPN的客户端问题。优秀的商用VPN厂商会提供兼容多平台的VPN客户端,但到iOS这里,也只能选择开发者模式安装或者AppleID换区了。而更多VPN厂商的客户端软件对多平台的支持是不友好的。
如果是大型企业行业对手机、Pad办公需求相对少,VPN系统和终端又都有专人负责维护,再加上办公电脑经常是统一批量采购的模式,VPN客户端的安装配置可以实现标准化、自动化,平台兼容性影响还比较小。但对于员工大多BYOD的中小企业,访问终端品牌类型极其碎片化,VPN客户端的安装配置就成了令人头疼的问题。
相反,零信任方案看似复杂,但在终端问题上,其实提升了用户的远程办公体验。如果采用绿盟零信任远程办公方案,是不需要在客户端安装任何软件插件的。依靠安全认证网关和统一身份认证平台,用户可用个人电脑或移动设备,避开繁琐安装配置流程,只需浏览器+Internet即可轻松远程办公,可以通过任意浏览器访问与其授权相恰的办公资源。
图2:零信任远程办公解决方案
易用性与维护成本
VPN的易用性也是值得讨论的方向。目前,单凭借VPN是无法实现单点登录和统一认证授权的,用户每访问一个应用,就需要再认证一次。我想很多用户在实际使用中都会对这样的反复认证感到厌烦,可以说极大降低用户体验。更别说偶尔再因为VPN在线用户数过多被挤下线后,重新上线又要验证一次。对于运维人员来看,这样未统一的身份管理也极大地增加了运维负担。
零信任远程办公方案在这方面可以起到降本提效的作用,一方面,该方案可实现单点登录,让用户的办公访问认证流程得到极大简化,一次登录成功即可访问所有授权的应用,零信任反复校验的过程于客户是无感知的;另一方面,该方案实现了统一身份管理,统一应用、微服务(API)管理,降低了运维人员的工作负担,提高安全运营效率。
总结
总结以上几个方面,我们可以看到零信任远程办公方案较VPN远程办公的优势之处,尤其在安全度、授权粒度、多平台兼容性这几个方面完美胜出,即便是SSL VPN也不能在这几个方面和零信任方案相齐。但就目前而言,国内厂商提供的零信任远程办公最大不足也很明显,就是只能处理应用层协议,目前各大厂商对http/https协议的支持较好,部分可支持websocket,http2等协议,但是对于数据链路层、网络层协议的支撑,还只能用VPN处理。
一表胜千言,总结两大方案比较项如下:
相信之后零信任产品对各类协议的支持会逐渐完善,眼下如果企业希望加快数字化转型,建设更安全易用的远程办公环境的话,将七层协议交给零信任,四层以下交给VPN,两者并行也许是不错的选择。
