远程办公接入如何兼顾便捷与安全可信？

随着数字化的升级，参与办公的终端形式越来越多样，同时也让传统的办公形式打破了空间的界限，而远程办公则成为了近2年来的常态。

在远程办公场景下，包括了企业员工、承包商、供应商、渠道合作伙伴等需要接入办公应用和业务资源的用户。而这些用户需要通过手机或笔记本电脑等便携设备，随时随处都能与在办公室一样便捷顺畅工作。对现有的企业网络来说，远程办公的安全性与便捷性之间的矛盾成为了高效协同的最大制约。

细分场景

远程接入

员工居家办公、分支机构、海外分支、承包商、渠道商的人员远程接入总部业务资源。

移动办公

员工外出或出差时能不受物理位置和IP地址限制，随时随处便捷访问业务资源，安全高效。

体验升级

VPN访问慢、容易断、体验差、不安全的升级替换。

客户实例

现状描述

某科技类公司共500名员工，总部在北京，在上海和深圳分别设有分公司。

公司的办公系统分别部署在A、B两个公有云，员工通过SSL VPN远程访问业务系统，运维工程师通过SSL VPN接入到云服务VPC远程运维。

公司的研发和测试服务器、运营数据系统部署在某数据中心，各办公区与数据中心使用IPSec VPN建立加密隧道，直接打通各办公区内网和数据中心，便于员工直接从内网访问数据中心的业务资源。

网络拓扑

需求分析

• 提高远程访问体验

受限于VPN的技术实现方式，远程接入的员工每次只能同时接入一个VPN网关，无法同时在一个终端上建立多个VPN隧道。

当员工需要访问不同区域的业务时，必须手动切换不同VPN，特别影响员工远程办公、研发测试和运营运维的工作效率。

• 精细化管控需求

当远程办公员工通过VPN接入后，实际上就进入到了整个内网/业务网段。

由于远程接入员工变动频繁、角色复杂，管理员一般会给VPN网段开放较大的网络访问权限，允许远程接入员工在网络层可以访问所有业务，仅通过应用帐号权限进行业务访问管控。

这种管控方式在网络层留下了巨大的安全隐患，攻击者亦可通过VPN接入内网，在网络层面整个业务网段都向攻击者开放。

部署拓扑

部署方案

• 信域管理控制平台TMC部署

TMC部署在数据中心的业务局域网中，分配局域网IP地址，无需对局域网外开放端口。

• 信域网关TMG部署

分别在两个公有云的VPC里、数据中心业务局域网各部署一套TMG，分别代理各自区域的业务服务。在云VPC出口网关、数据中心出口防火墙上配置DNAT策略，将TMG的UDP9527端口映射到网络出口公网IP地址的任意固定端口上，并开启此端口的双向UDP访问权限。

• 信域客户端TMA部署

员工办公终端上安装信域APP，终端用户使用信域APP登录信域安全云网。

实现效果

• 随时随处便捷远程接入，不用切换同时访问不同业务

无论是居家办公、差旅途中、外出移动办公，所有员工通过信域TMA终端软件经认证授权后，即可访问所有授权业务资源，且所有授权业务资源可同时访问，终端用户无需关心业务资源部署位置，无需切换链路。

• 基于身份的细粒度访问控制

网络访问控制策略基于帐号、终端与业务资源三个主要要素设置，策略编排不依赖于终端的IP地址。

管理员只需要根据业务需求，按照公司组织架构或角色、帐号等设置授权策略即可，无需考虑复杂的网络地址分段，大幅降低管理员的运维工作量，消除了企业在网络层面的隐含信任漏洞问题。

• 大幅减少攻击暴露面

所有业务资源都隐藏在业务区的内部网络中，无需对互联网或办公网暴露任何端口，所有业务访问的网络数据包都将经过身份认证，避免了来自非认证非授权人员的潜在安全威胁，让企业用最小代价实现了对绝大多数安全威胁的有效防御。