不久前,由于中国严重的疫情,许多科技公司开始远程办公。工程师抱怨说,由于高负载,虚拟专用网服务器经常崩溃。如今,国外的疫情非常严重,像谷歌、微软和推特这样的大型工厂也开始了远程办公。出乎意料的是,外国工程师更加愤怒,直接评论说所有的虚拟专用网都是垃圾。
1。由于疫情的蔓延,国外大型科技工厂纷纷开设远程办公
随着新皇冠病毒开始在世界各地肆虐,包括美国、欧洲和亚洲在内的各个地区的企业和组织开始效仿中国,采用远程办公的方法来防止新皇冠病毒的传播。
由于谷歌苏黎世办公室的一名员工被发现感染了新的皇冠病毒,谷歌要求其都柏林欧洲总部的约8000名员工在家工作,然后谷歌要求华盛顿州的合格员工远程工作。
谷歌、亚马逊、脸书、美国电话电报公司之外也有员工感染了新的皇冠病毒。亚马逊向西雅图和附近贝尔维尤的员工发出通知,建议他们在家工作到三月底。紧随其后的是微软,它允许西雅图或旧金山的任何员工在3月9日之前在家工作。Twitter几天前还表示,由于担心新皇冠病毒的传播,它“强烈鼓励”全球近5000名员工在家工作。
使用Slack和Zoom对这些大型技术工厂来说并不陌生,在许多人的印象中,这些大型工厂本身就有着强大的远程办公文化。但真的是这样吗?一组与新皇冠病毒相关的最新数据显示,很少有公司拥有远程办公系统,而且绝大多数公司都是首次使用远程办公系统。
这些远程办公软件的实际使用率是多少?谷歌给了我们一些提示:
根据搜索引擎反映的数据,Zoom、Slack和微软团队的关键词搜索数量正以惊人的速度增长。
Zoom的搜索量在韩国增长了525%,在日本增长了150%,在意大利增长了104%。
Slack在韩国的搜索量增长了17%,在日本保持稳定,在意大利增长了19%。
微软团队搜索在韩国增长了186%,在日本增长了17%,在意大利增长了108%。
在流行期间,远程办公软件正经历(或将很快经历)销售、试用和新用户增长的繁荣。尽管额外的流量基本上是免费的,营销效率也在快速增长,但一些软件服务团队被庞大的用户量所淹没。由于疫情期间用户的急剧增加,市场上许多流行的远程办公工具都存在停机、延迟或技术故障的问题,一些员工还抱怨说:远程工具真的太难使用了!
2,工程师们怨声载道:企业虚拟专用网烂透了
当企业纷纷开始远程办公模式时,许多公司为其员工提供企业虚拟专用网络以访问内部网。然而,根据一些员工在社交网络上的反馈,企业虚拟专用网并不是很有用:一方面,它突然受到巨大的流量,导致频繁的员工被卡住出列;另一方面,企业虚拟专用网的安全性有待提高。
技术专家马修·沙利文(Matthew Sullivan)在他的博客上写了一篇专题文章,讨论企业虚拟专用网的安全问题。当然,更重要的是,他提出了一些可行的方案和建筑方案。
首先,他的观点是:
尽量不要使用虚拟专用网络。
为什么?因为:
所有的虚拟专用网都是垃圾。
他认为,虚拟专用网还需要精心配置,否则黑客就能找到机会。更重要的是,这种复杂的配置只存在于理论层面,真正的用户几乎不会去想它!
在99.95%的情况下,虚拟专用网是通过以下方式建立的:
桥接网络设备,如笔记本电脑或其他服务器
访问更大的服务器网络,如云或内部环境
跨互联网-使用附加加密层进行保护
据马修说,这显然不是一个好主意。如果笔记本电脑上有恶意软件,并且通过虚拟专用网连接到生产网络,该怎么办?恶意软件将因此获得对生产基础设施的本地网络访问,从而产生明显的严重后果。
此外,黑客还可以通过虚拟专用网设备或软件漏洞入侵虚拟专用网本体,从而避免安全检查并直接访问目标网络。这种情况并非前所未有。以前影响很大的心脏出血漏洞可用于劫持虚拟专用网接入。
VPN安全漏洞的消息层出不穷。世界各地的攻击者正迅速利用这些漏洞来访问目标网络。此外,这些系统直接对互联网开放,没有任何保护机制。此外,修复程序通常不能自动执行,并且要求运营商在专有操作系统上的专有软件管理方案中运行专有更新机制。
下一个问题是,在互联网上找到一个公司的虚拟专用网设备有多难?马修说在写这篇文章之前他不太确定,所以他花了大约30分钟研究这个问题。
汤森路透是一家拥有26,000名员工的410亿美元企业,其收入的一半来自金融服务。
入侵活动和费用管理服务,包含大量个人身份信息和支付信息
累进保险-个人身份信息和个人健康信息,包括一些支付信息
雪佛龙菲利普斯化学公司——这是一家著名的化学企业,其他的就不要再讨论了。
简单地说,我们发现了许多公司直接接触互联网的虚拟专用网络。问题真的很严重。那么,有可靠的解决方案吗?
3。如何确保虚拟专用网的安全?
零信任
马修的第一个解决方案是“零信任”
零信任的基本概念是独立授权所有连接操作,即尽可能避免对网络中的任何内容做出可信的假设。
为了轻松实现生产服务器的零信任登录,他给出了选择相应解决方案的三个理由:
[分区][/分区]1,用OpenSSH内核完善
从底层来看,解决方案平台最好是一套具有良好管理配置的Openssh(计算机上的ssh命令)部署方案。OpenSSH已经过严格测试,是一个相当安全的远程管理解决方案。自2003年以来,由于默认配置中的漏洞,OpenSSH从未遇到过未经授权的远程访问。
网络入口点本身相当于基于亚马逊Linux 2的单功能EC2实例,其简单的结构意味着其攻击面非常有限。请注意,虚拟专用网设备的主要问题之一是需要匹配专有软件/操作系统配置,这是阻碍自动修复程序的罪魁祸首。只要网络入口点和其他基础设施可以自动修复,它们就可以在这场安全对抗中发挥带头作用。
[分区][/分区]2,没有网桥
如前所述,大多数虚拟专用网络配置将网络设备(如笔记本电脑)连接到互联网上更大的服务器网络。关于虚拟专用网,马修说,他个人最不能接受的是,它劫持了所有用户的网络流量。虽然有些流量可以通过配置进行分流,但客户和安全控制条款(如NIST 800-53 SC-7(7))通常需要这种全流量转发。
由此可见,这里的安全控制理念已经远远落后于行业的实际情况。过去,虚拟专用网可能是唯一的流量加密解决方案。审计人员通常认为,如果没有VPN保护,用户可能会通过未加密的渠道发布机密信息。然而,另一方面,这也意味着终端用户的正常空闲流量也将通过生产VPC交付。
幸运的是,还有一个更合理的方法。在OASA(一个可行的解决方案)模式中,用户和服务器之间的连接有一个独立的代理。例如,提交请求“我想加入EC2实例i-028d62efa6f0b36b5”将导致系统先跳到网络入口点,然后再跳到目标服务器。在单点登录供应商完成身份验证后,OASA还会验证请求的发送者是否在可信的内部设备上进行了预注册和批准。最后,OASA发布客户端凭据,在接下来的10分钟内持续保护这些跃点。
这使得访问活动空非常有限。管理员可以登录到网络入口点,并根据需要将端口转移到另一个目的地,但在建立任何连接时,操作员需要明确请求,默认情况下,系统将拒绝所有请求。最重要的是,因为这个系统与虚拟专用网无关,所以没有必要产生VPC路由所有必要和不必要的网络流量。
[区][/区]3,网络接入范围和随机IP
这些网络入口点是基于单个虚拟产品中心部署的(例如,一个VPC用于生产,一个用于细分,一个用于开发,等等)。)。此外,主机保护解决方案密切监控每个应用程序,记录应用程序的所有活动,并执行流量过滤。因此,即使攻击者成功入侵网络入口点的位置,实际上也没有太多后续的空。无论如何,这种安全模式不允许游客自由访问所有受保护的资源,因为他们已经进入VPC。
企业端口敲门
在实际的应用场景中,几乎没有人会使用端口敲门,但是设置它非常有趣。简而言之,端口敲击是为每个封闭的网络端口建立一个命中序列。只有按照正确的顺序操作,才能为您的IP打开“真实”端口。听起来不错,但在实际应用中不可行。
然而,端口敲击的基本原理启发马修考虑如何迭代这个概念。他称这种解决方案为“企业端口敲门”。
马修说,他想创建一种机制,确保网络入口点总是与互联网防火墙隔离,直到用户发起访问。该机制必须易于使用、高度可靠,并且能够通过现有身份提供者执行身份验证。
所以他起草了这个机制的基础结构,然后将结果提交给工程团队。几周后,该计划投入生产。
这项服务非常简单。自动气象站Lambda功能(无服务器架构)可以通过自动气象站应用程序接口网关访问。整个使用体验简单可靠。让我们看看这个机制的基本原理:
用户通过单点登录成功完成了身份验证
应用程序遍历已配置的AWS帐户,并找到带有特定标签的安全组(安全组,即AWS中的防火墙规则)
应用程序更新安全组并批准访问者的IP地址。安全组规则有一个包含创建时间的标签。
清除cron以定期运行,并在可配置的时间后删除以前的IP授权列表。
在这项服务的支持下,马修的团队建立了一个远程访问解决方案。该方案与互联网完全隔离,在打开防火墙端口进行双因素身份验证之前,会访问可以通过的用户目录。
简单易用的工具
虽然听起来有点复杂,但整个登录过程实际上非常简单:
单点登录(如果尚未完成)
单击单点登录门户中的企业端口敲门连接器
在终端中,使用SSH命令,并将目的地声明为所需的EC2实例ID。OASA很聪明,只需要指定网络入口点就可以使用,剩下的过程可以自动完成!
对于基础设施经理来说,新计划极大地改善了合规计划和客户安全带。用户享受这种简单的服务器访问体验,不需要执行二次身份验证或记住使用哪个虚拟专用网。
4,结论[分区][/分区]
在疫情的阴霾下,自由呼吸、安全进出的生活和工作环境极其珍贵。但现在,疫情的影响仍在继续,对全球科技企业的影响也在扩大。远程办公可能解决一些问题,但毕竟不是一个长期的解决方案。希望在全世界医学和科学研究人员的共同努力下,疫情能够得到及时控制。
作者:陈思、李冬梅
编译,核焦炭
规划,赵育莹
