酷应用

推荐|绿盟科技安全认证网关（SAG）

百家作者：绿盟科技 2019-05-06 10:33:30

企业移动办公现状

随着移动互联网的发展，移动办公、移动营销、智能POS等对内外网业务互动提出了新的要求。目前主流的解决办法是通过VPN去访问内网服务，这种解决方案不论在技术、安全性和成本方面来讲都存在诸多弊端和缺陷，因此一直没有得到企业大面积的使用。

从技术上讲，VPN是将企业内网和外网从网络层面进行了打通。换句话说，其可控制的层面仅限于网络层。

如图所示，VPN建立起来后，外部用户就拥有了访问192.168.1.1:80这个端口上全部应用的能力，这种授权的风险会非常的高。相当于将192.168.1.1:80这个端口上的所有服务对VPN用户发布，如果这个地址和端口对应有多个应用的话，此时只能通过应用账户来进行访问的限制，即不能阻止恶意者对其他应用的访问和攻击尝试。

绿盟科技解决方案

SDP（软件定义边界）是一个成熟的安全模型。云安全联盟已经组织了4届SDP黑客大赛，至今仍无人攻破。Gartner也曾作出预言，到2021年60%的企业会使用SDP方案替代VPN。

绿盟科技基于SDP模型打造的绿盟科技安全认证网关（NSFOCUS Security Authentication Gateway，以下简称绿盟SAG），通过提供应用层级别授权，将互联网用户的接入与内部资源实现应用级对接，改变传统VPN网络打通的方式，保证对外提供访问的同时，不暴露内网，最终达到保护被访问资源的目的。

绿盟SAG经过认证后给予用户的访问权限可以细化到应用级别，并不只是网络级。如果企业的A应用和B应用同时部署在M服务器的80端口，按照以往的VPN解决方案，除了登录限制外没有更好的办法限制能访问A应用的用户不能访问B应用，而绿盟SAG就可以通过URI进行授权，控制到任一用户的所有访问行为，当然也包括网络层的访问。

这有什么好处呢？

首先内部应用和数据的安全性得到了很大的保障。这就避免了VPN网络接通后，恶意用户对内部网络的大范围攻击。

其次是网络资源的大大节约。在这种场景下，用户的每一次授权和访问都仅占用其对应的应用资源，而不占用网络层资源。举个例子，我们不再像VPN那样为一辆车专门分配一个车道，而是根据你目的地规划路线，这条路线有共同目的地的车辆，可以共享使用。通过这种方式，在降低资源占用的同时，也可以降低内网服务过分暴露的风险。

最重要的是，在数据传输层面，绿盟SAG在提供网络层加密传输，保证数据传输安全的同时，提供了应用层访问审计。可以对全面审计互联网用户的每一次访问行为，及时发现恶意用户或内部窃密者，并其采取措施，杜绝信息泄露，保障数据安全。

另外，由于企业大部分内部应用多采用HTTP传输，当通过移动办公系统对外发布后，很可能存在数据被窃听的风险，绿盟SAG在此基础上提供了SSL加密与卸载功能，在应用不做任何改动的前提下达到数据安全传输的目的。

使用场景之Web访问场景中

在PC远程接入或移动办公环境中，绿盟SAG提供Web认证门户。用户可以通过Web访问绿盟SAG，绿盟SAG根据用户所要访问的应用实现控制和授权。如普通用户或非认证用户都可以访问公开资源。对于更敏感和应用访问，则需要通过绿盟SAG代理，二次认证后才可以进行访问。这种访问权限可以根据用户所要访问的URI或URI参数进行灵活分配。同时，用户能够访问核心业务系统，并不代表其拥有与核心应用系统网络通信的能力，绿盟SAG的代理功能杜绝了这种网络通信能力所带来的安全隐患。