手机网站
手机网站
不久前,由于中国严重的疫情,许多科技公司开始了远程办公。工程师抱怨说,由于高负载,虚拟专用网服务器经常崩溃。如今,国外的疫情非常严重,像谷歌和推特这样的大型工厂也开始远程工作。出乎意料的是,外国工程师更加愤怒,直接评论说所有的虚拟专用网都是垃圾。
由于疫情在全球范围内蔓延,国外大型科技工厂已经开始远程办公
由于新皇冠病毒在全球范围内蔓延,欧洲和亚洲的企业和组织已经开始效仿中国,采用远程办公来防止新皇冠病毒的传播。在一些高风险地区,每天有数百万人在家工作,网络压力比以往任何时候都大。有迹象表明,随着新感染者人数的增加,大多数受影响地区将在未来几天或几周内采用在家远程办公。
由于流感症状的报道,谷歌要求其位于都柏林的欧洲总部的大约8000名员工在家工作谷歌发言人表示,将继续采取预防措施保护员工的健康和安全。Twitter周一还表示,由于担心新的皇冠病毒疫情的蔓延,它“强烈鼓励”其近5000名全球员工在家工作。Twitter早些时候表示,公司将暂停所有非重要的商务旅行活动,优化内部会议、员工会议和其他重要任务安排,以确保远程办公人员的参与。
一些公司已经有内部的松弛和缩放系统。员工可以选择使用哪种办公模式。然而,一组与新皇冠病毒相关的最新数据显示,很少有公司拥有这种远程办公系统,而且绝大多数公司都是首次使用远程办公系统。
远程办公软件的实际使用率是多少?谷歌给了我们一些提示:从搜索引擎反映的数据中可以看到
,而Zoom、Slack和微软团队的关键词搜索数量正以惊人的速度增长。
Zoom的搜索量在韩国增长了525%,在日本增长了150%,在意大利增长了104%。
Slack的搜索量在韩国增长了17%,在日本保持稳定,在意大利增长了19%。
微软团队搜索在韩国增长了186%,在日本增长了17%,在意大利增长了108%。在
流行期间,远程办公软件正经历(或将很快经历)销售、试用和新用户增长的繁荣。尽管额外的流量基本上是免费的,营销效率也在快速增长,但一些软件服务团队被庞大的用户量所淹没。由于疫情期间用户的急剧增加,市场上许多流行的远程办公工具都存在停机、延迟或技术故障的问题,一些员工还抱怨说:远程工具真的太难使用了!
的工程师们怨声载道:企业虚拟专用网(企业虚拟专用网)吸走了
当企业纷纷开始远程办公模式时,许多公司为员工提供企业虚拟专用网以访问企业内部网。然而,根据一些员工在社交网络上的反馈,企业虚拟专用网并不是很有用:一方面,它突然受到巨大的流量,导致频繁的员工被卡住出列;另一方面,企业虚拟专用网的安全性有待提高马修·沙利文,一位
的技术专家,在他的博客上写了一篇特别的文章来讨论企业虚拟专用网的安全问题。当然,更重要的是,他提出了一些可行的方案和建筑方案。
首先,他的观点是:
尽量不使用虚拟专用网
为什么?因为:
所有的虚拟专用网都是垃圾
贺认为,虚拟专用网还需要精心配置,否则黑客就能发现机会。更重要的是,这种复杂的配置只存在于理论层面,真正的用户几乎不会去想它!
在99.95%的情况下,虚拟专用网是通过以下方式建立的:
桥接网络设备-例如,笔记本电脑或甚至另一台服务器
访问更大的服务器网络-例如,云或内部环境
穿过互联网-并使用额外的加密层来保护
。在马修看来,这显然不是一个好主意如果笔记本电脑上有恶意软件,并且通过虚拟专用网连接到生产网络,该怎么办?恶意软件将因此获得对生产基础设施的本地网络访问,从而产生明显的严重后果。
此外,黑客还可以通过虚拟专用网设备或软件漏洞入侵虚拟专用网本体,从而避免安全检查并直接访问目标网络。事实并非如此。以前影响很大的心脏出血漏洞可用于劫持虚拟专用网接入。
关于虚拟专用网安全漏洞的新闻层出不穷。全世界的攻击者都在迅速利用这些漏洞来访问目标网络。此外,这些系统直接对互联网开放,没有任何保护机制。此外,修复程序通常不能自动执行,并且要求运营商在专有操作系统上的专有软件管理方案中运行专有更新机制。
下一个问题是,在互联网上找到公司的虚拟专用网络设备有多难?马修说,在写这篇文章之前,他不太确定,所以他花了大约30分钟在Sudan . io上研究这个问题。让我们来看看相关的结论:
汤姆森路透,一家拥有26,000名员工、价值410亿美元的企业,其收入的一半来自金融服务
思爱普Concur、入侵活动和费用管理服务。有大量的个人身份信息和支付信息
累进保险——个人身份信息和个人健康信息,包括部分支付信息
雪佛龙菲利普斯化工——这是一个知名的化工企业,其他人应该不需要谈论
就能找到这样一个大公司的虚拟专用网络直接暴露在互联网上。问题真的很严重。那么,有可靠的解决方案吗?
如何确保虚拟专用网的安全?零信任
迈特休的第一个解决方案是“零信任”
零信任的基本概念是独立授权所有连接操作,也就是说,尽可能避免对网络中的任何事情做出可信的假设
为了轻松实现对生产服务器的零信任登录,他给出了选择相应解决方案的三个理由:
1。Openssh内核完善了
。从底层来看,解决方案平台最好是一套具有良好管理配置的OpenSSH(即计算机上的SSH命令)部署方案。OpenSSH是经过严格测试的非常安全的远程管理解决方案。自2003年以来,由于默认配置中的漏洞,OpenSSH从未遇到过未经授权的远程访问。
网络入口点本身相当于基于亚马逊Linux 2的单功能EC2实例。它的简单结构意味着它的攻击面非常有限。请注意,虚拟专用网设备的主要问题之一是需要匹配专有软件/操作系统配置,这是阻碍自动修复程序的罪魁祸首。只要网络入口点和其他基础设施可以自动修复,它们就可以在这场安全对抗中发挥带头作用。
2。无网络桥接
如前所述,大多数虚拟专用网络配置将网络设备(如笔记本电脑)桥接到互联网上的大型服务器网络。关于虚拟专用网,马修说,他个人最不能接受的是,它劫持了所有用户的网络流量。虽然有些流量可以通过配置进行分流,但客户和安全控制条款(如NIST 800-53 SC-7(7))通常需要这种全流量转发方法。从
可以看出,这里的安全控制理念已经远远落后于行业的实际情况。过去,虚拟专用网可能是唯一的流量加密解决方案审计人员通常认为,如果没有VPN保护,用户可能会通过未加密的渠道发布机密信息。然而,另一方面,这也意味着终端用户的正常空闲流量也将通过生产VPC交付。
幸运的是有一个更合理的方法在OASA(一个可行的解决方案)模式中,用户和服务器之间的连接有一个独立的代理。例如,提交请求“我想加入EC2实例i-028d62efa6f0b36b5”将导致系统先跳到网络入口点,然后再跳到目标服务器在单点登录提供商完成身份验证后,OASA还会验证请求的发送者是否在可信内部设备上进行了预注册和批准。最后,OASA发布客户端凭据,在接下来的10分钟内持续保护这些跃点
这使得访问后的活动空间非常有限管理员可以登录到网络入口点,并根据需要将端口转移到另一个目的地,但在建立任何连接时,操作员需要明确请求,默认情况下,系统将拒绝所有请求最重要的是,因为这个系统与虚拟专用网无关,所以没有必要产生VPC路由所有必要和不必要的网络流量。
3。网络访问范围和随机IP
这些网络入口点是基于单个虚拟产品部署的(例如,一个VPC用于生产,一个用于细分,一个用于开发,等等)。)此外,主机保护解决方案密切监控每个应用程序,记录应用程序的所有活动,并执行流量过滤因此,即使攻击者成功入侵网络入口点的位置,实际上也没有后续可用空间。无论如何,这种安全模式不允许游客自由访问所有受保护的资源,因为他们已经进入VPC。
企业端口敲门
在实际应用场景中,很少有人会使用端口敲门,但设置起来很有趣简而言之,端口敲门是为每个封闭的网络端口设置一个点击序列。只有按照正确的顺序操作,才能为您的IP打开“真实”端口听起来不错,但在实际应用中不可行。
,但是端口敲门的基本原理启发了马修开始思考如何迭代这个概念。他称这种解决方案为“企业端口敲门”Matthews,
,说他想创建一个机制来确保网络入口点总是与互联网防火墙隔离,直到用户开始访问。该机制必须易于使用、高度可靠,并且能够通过现有身份提供者执行身份验证。
于是他草拟了这个机制的基础结构并将结果提交给工程团队。几周后,该计划投入生产。
是一项非常简单的服务。AWS Lambda函数(无服务器架构)可以通过AWS应用编程接口网关访问,整个使用体验简单可靠。让我们看看这个机制的基本原理:
用户通过单点登录成功地完成了身份验证。
应用程序遍历已配置的AWS帐户,找到带有特定标签的安全组(安全组,即AWS中的防火墙规则)。
应用程序更新安全组并批准访问者的IP地址安全组规则有一个包含创建时间的标签
clear cron定期运行,并在可配置的时间后删除以前的IP授权列表。
在这项服务的支持下,马修的团队建立了一个远程访问解决方案。该方案与互联网完全隔离,在打开防火墙端口进行双因素身份验证之前,会访问可以通过的用户目录。
简单易用工具
虽然听起来有点复杂,但整个登录过程实际上非常简单:
单点登录(如果您尚未登录)
单击单点登录门户中的企业端口敲门连接器
,使用SSH命令,并在终端中将目标声明为所需的EC2实例IDOASA很聪明,只需要指定网络入口点就可以使用,剩下的过程可以自动完成!
对于基础设施经理来说,新计划大大改进了合规计划和客户安全带。用户享受这种简单的服务器访问体验,无需二次认证或记住使用哪个虚拟专用网。
结论
在疫情的阴霾下,自由呼吸、安全进入生活和工作环境非常珍贵。但现在,疫情的影响仍在继续,对全球科技企业的影响也在扩大。远程办公可能会解决一些问题,但毕竟这不是一个长期的解决方案。希望在全世界医学和科学研究人员的共同努力下,疫情能够得到及时控制。
