《云安全联盟:软件定义边界在IaaS中的应用(47页).pdf》由会员分享,可在线阅读,更多相关《云安全联盟:软件定义边界在IaaS中的应用(47页).pdf(47页珍藏版)》请在三个皮匠报告上搜索。
1、业务人员需要安全访问在IaaS环境中运行的企业应用系统,如人力资源管理系统、财务、采购、费用、供应链等。这些应用可能是供应商提供的系统,可能是内部IT开发人员开发的应用系统,也可能处于生产环境或者测试/QA环境。在这些情况下,业务人员通常不需要考虑网络或计算机的底层访问协议(例如SSH或RDP)。向业务人员提供应用系统的安全远程访问有三种常见方式 : 1)直接连接、2)VPN 和3)VDI。直接连接:在直接访问的情况下,应用系统通常是一个Web应用程序,配置到公共互联网环境下,不考虑访问限制。在这些情况下,应用系统会暴露于各种因素(安全威胁)下,容易受到各种形式的攻击,包括暴力破解,DDoS,
2、XSS和任何TLS漏洞(如心脏出血漏洞Heartbleed或贵宾犬漏洞Poodle)。VPN:通过VPN,内网及其所有的资源都将对该业务人员的设备开放。VDI:通过VDI,业务人员可以操作虚拟计算机(通常是Windows操作系统),这个虚拟机可以用作企业应用系统的启动平台。业务应用系统通常是一个需要“厚Windows客户端”(较多在客户端及服务器端的运算,较少的通信链接)的客户端/服务器应用程序。通过SDP解决方案,只有授权用户才能访问业务应用系统。实际上,未经授权的用户甚至无法访问SDP网关 - 因为它受到单包授权SPA的保护,所以对攻击者来说实际上是完全不可见。我们来看看不同的用户的访问需求,以及如何管理这种访问。需求:Grace在公司总部的销售部门工作。她需要通过由IT团队开发的新销售报告系统访问重点客户销售报告。她经常拜访不同地方的客户,需要远程运行报告,且该应用系统托管在Amazon AWS上。挑战:Grace 在出差期间在机场和咖啡店访问多个免费网络。过去,IT 安全部门发现了她的笔记本电脑上的恶意软件,他们担心当 Grace 通过 VPN 访问新的重点客户销售报告或返回公司总部时,恶意软件可能会传播到 AWS 基础架构中(“星期一恶意软件”)。