1
银行SSLVPN的需求背景
银行业是国民经济的重要领域。近年来信息化提出越来越多的挑战,银行业网络架构纵向集中的趋势日益明显,业务网络物理上要求统一,逻辑上要求安全隔离的呼声也越来越高,因此,安全防范措施的必要性不言而喻。银行业新型业务的发展要求将原来局限于办公室的内容向外界扩展。为增强企业竞争力,在内部形成快速便捷的信息沟通渠道,以及实现对市场信息的快速响应与快速决策,必须具备移动办公及远程接入的能力。尤其是在当前新冠疫情下,全民远程办公以及远程的运维管理成为硬性需求。
1
银行远程安全接入的技术关键点
3个要素
访问者:即远程接入发起源头,它可能是账号,可能是设备,甚至可能是一个IP,从安全的角度我们要证明这个源的合法性。
访问对象:即访问的目标,与之关联的可能是N个主机、N个业务、N个应用资源……
访问行为:即允许访问者对访问对象所做的操作权限,举个例子,某个人通过远程接入到公司网络中后,他是否拥有访问所有公司资源的权限还是只拥有访问某部门业务相关资源的权限,这些都是通过访问行为进行控制的。
4个关键点
身份安全:增加身份认证方式,提高黑客仿冒成本
终端环境:广泛支持操作系统,提升访问便捷性;增加安全检测及管控,提高黑客控制终端跳板成本。
传输过程:增加更安全的加密算法,提高黑客破解数据成本。
应用权限安全:增加细粒度权限管控机制,提升黑客扩大攻击范围的成本。
1
华耀SSLVPN银行应用案例
通过VPN实现对银行公有云业务的安全管理
VPN在公有云上的使用有两个主要使用场景:
从客户端到公有云端的Client to Site:这种使用场景类似我们传统的数据中心的接入方式,唯一不同的是这个场景中的数据中心被公有云的环境所替代。
不同的公有云之间的Site to Site:银行上云的过程中,不同的应用可能部署在不同的公有云之上,这就涉及到应用如何跨公有云互访的问题,通过Site to Site VPN 技术可以解决上述公有云之间业务互访的问题。
/ Step 1 /
通过AWS镜像市场中安装vxAG安全接入网关软件。利用华耀独创的虚拟站点功能,可在AWS单台vxAG软件上融合Client-to-Site, Site-to-Site功能。
/ Step 2 /
创建一个虚拟站点作为Site-to-Site服务,该服务提供AWS和阿里云VPC之间的子网互通。
/ Step 3 /
在阿里云的VPC中安装vxAG-Spoke软件,自动连接AWS提供的Site-to-Site服务,建立两朵云之间的互通隧道。隧道支持国密算法。建立成功后,两朵云VPC内的主机可以按照设定的授权策略进行互访。不符合安全策略的访问将被拒绝。
/ Step 4 /
在AWS的vxAG上创建一个新的虚拟站点作为Client-to-Site服务,办公人员和运维人员通过该服务在家里实现对AWS和阿里云中的服务和主机的安全远程访问。
强大的认证手段保障身份安全
多因子认证,如MFA、动态码等
AD认证集成
单点登录,集成ADFS、ODIC等
多种检测机制排除终端环境隐患
客户端须支持Linux, Windows, MacOS等主流操作系统
主机安全检测,符合指定安全策略时才允许接入
固定客户端IP
用户和设备的MAC地址或者机器序列号绑定,只允许从指定设备访问。
资源独立、数据隔离规避通信泄露风险
支持多个虚拟站点,保证数据和资源的独立性
可满足L3VPN接入和WebVPN接入
SSLVPN网段支持自定义,避免和业务VPN网段重叠
VPN客户端之间网络不通,客户端连接VPN后,客户端之间网络互不可达
多维度精细管控应用访问权限
基于ACL网络访问控制
基于角色的访问控制
基于URL资源的控制
vxAG远程安全接入软件是华耀全球知名的硬件SSLVPN产品的软件版本,具备远程安全接入网关的全部功能,可以在虚拟化或云环境中提供专业的远程安全访问。它帮助用户实现在任何时间任何地点使用任何设备都可以安全地连接到云上的主机或应用。且vxAG可广泛部署在业界常用的虚拟化平台上,如VMware ESXi、XenServer、OpenXen、KVM、Microsoft Hyper-V,大大降低了用户的使用成本。vxAG帮助用户轻松实现运维管理、生产系统访问和移动办公。