安全419《远程办公解决方案》——网宿科技篇

在安全419题为 《众厂商提供免费远程办公方案抗疫 云上班模式能走多远？》 的报道中，我们观察到，伴随最新一轮较大范围的疫情来袭，远程办公再一次成为各企业维系业务与生产的主流模式。同时，因为国内的远程办公普及度长期低于西方发达国家，我们也抛出疑问，如果疫情只是一剂短期的催化剂，当一切回归正常，远程办公是否还能够、还需要常态化地存在？

 

《远程办公解决方案》系列选题首篇，安全419邀请到网宿科技副总裁吕士表为大家分享他们的观察与实践。网宿科技不仅是在本轮疫情中最早一批宣布为全国各企业提供免费远程办公产品服务及技术支持的厂商，同时也是国内较早研发推出完整解决方案的厂商，经过在多个行业的落地及反馈，他们对于远程办公的认知和研判，相信可以解答企业用户们的诸多疑虑。

先来看看这家企业的背景及发展历程。网宿科技定位于全球领先的云分发及边缘计算公司，提供CDN、安全与性能、MSP、边缘计算、云计算产品及解决方案，满足用户随时随地、安全、可靠的数据处理及交互需求。其自2015年持续布局安全业务，在2021年10月战略升级“网宿安全”品牌，目前已构建出了高性能、持续演进的安全平台，并逐步形成包含数据安全、主机安全、容器安全、业务安全、应用安全及网络与访问安全、零信任安全等10大类50项安全能力。网宿科技近年来一直在零信任领域进行深入研究，积极践行零信任安全理念，突破传统内网访问默认的边界可信任模型，为企业在不可信的网络环境中构建新的安全边界，提供新一代安全接入服务。

 

 

吕士表告诉我们，对于大部分企业来说，以VPN为代表的传统远程办公工具，在解决企业员工办公需求的同时，在安全性、易用性和质量方面存在一些短板，已经不能很好地支撑现今的远程办公需求。

 

首先，在全员远程办公的规模压力下，VPN性能在并发支撑和网络拥塞方面问题日益凸显，员工访问内网系统深受卡顿、频繁掉线等困扰，严重影响办公效率。

 

而更大的挑战在于安全性。VPN会暴露内部业务系统端口和众多终端设备、账号的接入，给企业应用带来了更大的攻击面：黑客扫描VPN网关利用VPN漏洞攻入内网、非法获取内部账号，利用VPN“一次认证，永久授权”的机制进行横向攻击等安全事件层出不穷，后果均为大量企业敏感信息被泄露。

 

同时，应用上云趋势下，SaaS视频会议、云端协同工具等多样远程办公应用的普及，进一步加剧了企业网络信息基础设施的复杂性和安全管理难度。

 

 

远程办公流行趋势下，无论是互联网厂商、云计算商、网络安全厂商还是在线办公应用提供商，都纷纷推出了自己的远程办公工具或综合解决方案，有的侧重在线沟通与协同，有的侧重网络资源的供给与效率，有的侧重员工身份及设备鉴权管理，有的侧重网络及数据安全保障。

 

到底什么才是企业最需要的？吕士表对此建议，企业应当正确识别内部组织架构及业务场景，以及分析现存方案为具体场景带来的瓶颈和影响。基于更好的实现企业业务的运营为目标，评估出必需消除或改善的瓶颈点和方案短板，并寻找更灵活、更合适的新型产品和技术方案。

 

另外，企业也应当基于业务识别威胁和安全风险。结合行业属性，按业务主次、数据价值高低、应用场景范围等分别识别出资产暴露面，包括业务部署方式、访问用户规模、访问方式、数据敏感程度、被攻击概率及严重级别等，对远程办公方案做升级更新。

 

 

那么，什么是贴合当下远程办公需求的理想范式呢？网宿科技给出的答案是「零信任」。

 

VPN暴露出的最大问题是效率和安全缺失的短板，多云时代，传统安全边界正在失效，传统边界信任模型被打破，零信任安全模型已经被越来越多企业所认知和接受。Gartner预测，到2023年，60％的企业将逐步淘汰大部分VPN，以支持零信任网络访问。

 

网宿科技在2020年5月推出的基于零信任理念的远程办公解决方案--安达SecureLink，中心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。不再以位置假设安全，无论应用服务器在哪里，无论用户在什么时间、什么地点、使用什么设备，都能安全访问其权限内的数据。
 

网宿安达SecureLink零信任安全架构

吕士表介绍，安达SecureLink是根据云安全联盟(CSA)的软件定义边界(SDP)标准规范，同时遵循Zero Trust安全框架设计而成，为企业远程访问/办公的传统内网访问技术（如VPN、远程桌面）提供了一种安全、简单、快速的替代方案。另外，凭借网宿科技全球智能网络平台的天然优势，为企业打造安全、高效、易用的远程访问环境。

 

·身份可信：在统一身份认证模块中，关联的是设备终端里的用户认证，主要包括多因子认证，基于多维度安全基线认证（时间/地理位置/出口IP等）以及和客户已有的身份认证系统对接认证；

 

·终端可信：在安全检测模块中的端点安全建设，关联的是设备终端，包括可信授信设备检测以及终端环境检测等；

 

·行为可信：在安全检测模块中，关联安全网关（认证后的数据请求都会传到安全网关进行处理，由安全网关数据采集模块对数据采集上传到控制中心），同时关联异常行为检测，会根据制定好的规则对用户的行为进行实时检测，以保证用户行为可信；

 

·信任评分&动态授权：在访问策略模块中关联安全网关，根据行为检测的结果以及初始的权限规则，进行用户信任评分和动态授权，最终将访问策略下发到安全网关的策略执行引擎中并执行。

 

据了解，安达SecureLink已经在政府、金融、医疗、教育、能源等行业机构成功落地应用，保障了数万员工远程办公的高效协同、安全稳定。

 

 

零信任的核心是不再区分内外网，认为内网也是不安全的，所有的访问都需要经过认证和授权。这种思想跟远程办公场景无疑是非常契合的——员工（甚至企业也不知道是不是员工）将使用未知的设备在任意的网络环境中访问企业的资源。IDC指出，在技术应用场景和发展趋势方面，远程办公、数据中心、云计算环境等，将成为对零信任网络安全防护体系需求最旺盛的应用场景。

 

零信任理念也正是在疫情的助推下得到大面积推广，相关技术与方案在这期间迭代创新并进行持续验证。吕士表进一步表示，新冠疫情客观上推动了远程办公模式在全球的“常态化”。同时，新的企业协作模式，如异地团队协作、外部合作伙伴协作，也在加速远程办公的应用与普及。而根据2021年Gartner首席信息官调查，向混合工作模式（或远程办公模式）转变是一个持久的趋势，超过75%的知识工作者期待未来在混合工作环境中工作。

 

除了疫情对远程办公的需求推动之外，远程办公模式本身带来的新生安全问题，以及随着企业云化深入和万物互联，网络边界加速消失，让传统基于边界的安全防护模型已经收效甚微，静态的安全策略无法应对持续增长的各种安全风险，零信任成为全球网络安全的关键技术和大趋势。

 

可以说，“企业为了应对时代变化而产生的的需求”和“顺应时代发展而被提出被应用的安全理念及技术”在相辅相成着互推往前，未来，常态化远程办公趋势下，或许还有更多值得关注和解决的问题。最终，我们期待随时随地都能获得跟在公司上班一样的办公体验，企业管理者也不必再为业务受限、安全威胁、效率瓶颈等问题而困扰。

 

安全419《远程办公解决方案》系列选题旨在展现疫情之中我国远程办公的应用情况，并探究在数字时代，远程办公模式（或混合工作模式）在国内究竟有没有未来，企业会面临哪些挑战，又需要什么样的配套能力？本系列选题将持续更新，欢迎更多有相关思考探索与技术能力的安全厂商和企业用户跟大家分享自己的实践经验，帮助更多企业找到适合自身行业、规模、管理和发展诉求的远程办公方式方法。