背??景介绍为了方便外部用户或者店铺访问内部应用,很多公司通常会将这些内部应用开放到公网供这些用户访问,这样会存在很大的安全隐患。以运维工具Jenkins为例。应用发布功能非常完善,拥有大量的插件可以实现一些定制化的功能。但也因为插件众多,应用程序会有几十个甚至上百个安全漏洞。早期,笔者亲眼目睹Jenkins应用被插件漏洞攻陷,服务器被当成矿鸡。如何安全地访问这些内部应用程序?实现方案有以下几种方式:1.SSL-VPN首先,我们需要把这些应用从公网放到内网,所有外部供应商或者通过门店来访的用户都通过VPN连接到内网,以及然后访问应用程序。同时,必须在网络层面进行限制,限制只能访问这些内部应用程序。这样即使内部应用有很多安全漏洞,只要不暴露在公网,被攻击的面就会大大减少。2.SD-WAN网络技术首先,我们还需要把这些应用从公网放到内网。如果是门店,可以使用SD-WAN设备,如果是外部供应商,可以使用SD-WANAPP客户端。它比VPN功能更多,可以做更细粒度的控制。一些供应商,例如限流和ACL,甚至可以控制您连接后可以访问哪些应用程序。同时还可以起到网络加速的作用,这是VPN无法实现的。当然,它的成本比VPN高,但比专线便宜很多。而APP客户端的计费方式更加灵活,有按客户端数计费和按流量计费。3、零信任SDP产品零信任SDP产品通常以网关的形式提供服务。所有要访问的用户都需要通过网关进行认证,认证通过后才能访问指定的应用。未通过认证的,不会返回请求数据。方案比较三种方案各有优缺点。下面我们从实际的使用场景来对比一下。小结如果要为供应商提供安全的内网访问并节省成本,使用VPN更为合适。如果要实现安全访问内网,同时有网络加速的需求,可以使用SD-WAN网络技术。如果不能将业务迁移到内网,又想保证访问安全,那么零信任SDP产品就非常适合。
