×

移动办公,SSL,VPN凭什么比HTTPS安全?
  

sangfor资讯 245883人觉得有帮助

{{ttag.title}}
本帖最后由 sangfor资讯 于 2019-5-7 17:15 编辑


数据资产和业务系统可以说是企业的命脉,同时也因其高价值性和重要性,在各色各样的网络攻击中首当其冲,SSL VPN和HTTPS加密就是保护企业安全的两种行之有效的手段。

现如今,随着互联网技术的发展,越来越多的重要数据和核心业务从电脑终端向手机移动端转移。

这时就有一个问题常被提及:SSL VPN可以加密流量,HTTPS也可以加密,同样支持RSA、AES等算法,都用443端口,并且还免费。那为什么不用HTTPS来进行远程移动办公接入呢?


不仅如此,在行业标准和企业信息安全规范中,如《国家电子政务外网安全接入平台技术规范》,政府、金融和企业用户都被规定使用VPN。

从算法的安全性角度来看,HTTPS、SSL VPN网络层的防窃听、防篡改的效果都差距不大。

那为什么政企单位会被严格要求使用VPN技术呢?




VPN拥有的独特优势

在VPN的场景里,只要用户能够与VPN网关网络互通,在经过VPN网关的身份认证、授权之后,就能访问VPN网关另一侧的内网资源。

想要通过VPN访问内网,第一关就是身份认证。只有经过客户内部认证系统的身份确认之后,才可以建立网络层的连接,让正确的人进来。在此基础上秘钥交换、加密才有真正的价值。

越重要的业务系统越需要安全接入,而VPN技术的特性恰好满足了这个需求:

1.网络层准入控制:无论是WiFi接入、3G/4G接入,还是有线网络接入,VPN技术都能够随时、随地的完成统一网络层准入控制,帮助客户保障接入到内网的用户身份安全,例如通过利用用户名密码认证、CA认证、域控AD认证,双因素认证等等手段。

2. 商密算法的支持:用户认证、加密时使用的加密算法,可以根据客户的需求替换成高安全性的商密SM1、SM2、SM3、SM4算法,在身份安全的基础上,增强数据加密的安全性。

可以发现,合规要求中的VPN加密接入,解决了网络层准入控制的核心痛点,而这一点,移动办公客户最看重;同时VPN可以满足某公司商密算法的要求。


▲VPN接入流程图


相比SSL VPN,HTTPS弱点其实很明显:

1. HTTPS设计的出发点,默认就是信任客户端的,访问Google可以不用输入用户名密码,HTTPS对安全的关注都用在了验证Google网站的可信度上。在默认情况下,HTTPS是先建立加密通道,再让应用去验证用户身份;另外,HTTPS默认只能使用国际标准的加密算法,需要高成本的底层改造才能支持国家商密算法。

2. SSL VPN设计从一开始,就是不信任客户端的,只有先验证用户的身份,才能继续网络协商,建立网络层的加密通道;除此之外,SSL VPN可完美支持商密算法,满足政府、金融等合规需求场景。

HTTPS好比是让坏人和好人先进大堂,再查工卡过闸机,此时坏人已经进入大堂,有了可乘之机;SSL VPN是进大堂前,就要刷特制的工卡过闸机,只有带特制工卡的人才能进大堂。

除此之外,政企客户在有多个APP时,需要开放多个HTTPS的IP/端口,而SSL VPN只需要开放一个443端口,就可以无限扩展支持多个APP上线,有效减少暴露面,极大的降低网络风险。

不难发现,使用HTTPS的风险更大,其设计模式让黑客多了不少可乘之机。


某公司下一代移动专属VPN技术


某公司深耕VPN产品和技术将近20年,VPN产品市场占有率连续11年排名第一(数据来源于:《IDC PRC Quarterly Security Appliance Tracker_2018Q4》)。某公司基于对客户需求和产品技术的积累,推出了EMM EasyWork移动办公安全方案。该方案在“移动应用沙箱”的创新基础上,集成了某公司特有的“下一代移动专属VPN”技术,构建了一个真正隔离的“移动办公空间”。

某公司移动专属VPN有以下优势特点:

1.隔断外部网络“窃密”:专属VPN建立之后,仅“移动应用沙箱”中的APP才有权限访问内部网络,例如个人手机上感染了病毒,此病毒在网络层无法通过专属VPN渗透、感染到内网。

2.阻止内部网络“泄密”:员工通过专属VPN接入到内网中后,在“移动应用沙箱”中无法访问非授权的互联网地址,例如,被收买的内鬼员工无法通过访问外网云盘的方式泄密。

3. 传输高安全:支持软件、硬件方式的商密算法,对移动办公网络数据传输,进行高安全加密保护。



▲某公司移动专属VPN特点


某公司EMM简介

某公司EMM是面向政府、金融、企业等客户的移动办公安全平台。某公司EMM方案支持快速、稳定的移动VPN接入,从网络层确保用户身份安全;提供安全工作桌面,与个人桌面隔离,控制复制粘贴、截屏、文件分享、文件读取、网络访问等行为,并可选支持配发移动设备的MDM强管控,全面防范敏感数据泄密。

在实施阶段,通过免SDK的自动安全封装技术,简化实施和维护工作;在移动办公推广阶段,便捷的应用商店与高体验的办公APP,使员工有良好体验,让安全的移动化应用真正用起来。



▲移动安全调研问卷(前五名填写者将获得一份精美礼品)



打赏鼓励作者,期待更多好文!

打赏
10人已打赏

kevinking 发表于 2019-5-15 08:45
  
非常好的技术贴,感谢楼主的分享,必须顶起来。
熬成婆 发表于 2019-5-19 21:32
  
说得好:HTTPS好比是让坏人和好人先进大堂,再查工卡过闸机,此时坏人已经进入大堂,有了可乘之机;SSL VPN是进大堂前,就要刷特制的工卡过闸机,只有带特制工卡的人才能进大堂。
魅力长安 发表于 2019-9-12 10:47
  
感谢分享,进一步了解SSL VPN 技术是怎么实现
tyr 发表于 2019-11-20 11:47
  
哎哟,不错哦
新手951972 发表于 2019-11-24 22:08
  
每日学习
一个无趣的人 发表于 2019-11-26 20:26
  
嗯嗯,对于SSL与HTTPS的对比讲解的特别清晰。
新手650001 发表于 2020-8-29 11:47
  
学习学习
এ塔铃独语别黄昏এ 发表于 2022-4-1 23:26
  

感谢分享,进一步了解SSL VPN 技术是怎么实现
新手789349 发表于 2022-6-6 09:00
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人