移动办公,SSL VPN凭什么比HTTPS更安全?
数据资产和业务系统可以说是企业的命脉,同时也因其高价值性和重要性,在各色各样的网络攻击中首当其冲,SSL VPN和HTTPS加密就是保护企业安全的两种行之有效的手段。
现如今,随着互联网技术的发展,越来越多的重要数据和核心业务从电脑终端向手机移动端转移。
这时就有一个问题常被提及:SSL VPN可以加密流量,HTTPS也可以加密,同样支持RSA、AES等算法,都用443端口,并且还免费。那为什么不用HTTPS来进行远程移动办公接入呢?
不仅如此,在行业标准和企业信息安全规范中,如《国家电子政务外网安全接入平台技术规范》,政府、金融和企业用户都被规定使用VPN。
从算法的安全性角度来看,HTTPS、SSL VPN网络层的防窃听、防篡改的效果都差距不大。
那为什么政企单位会被严格要求使用VPN技术呢?
▲政务外网安全接入平台
VPN拥有的独特优势
在VPN的场景里,只要用户能够与VPN网关网络互通,在经过VPN网关的身份认证、授权之后,就能访问VPN网关另一侧的内网资源。
想要通过VPN访问内网,第一关就是身份认证。只有经过客户内部认证系统的身份确认之后,才可以建立网络层的连接,让正确的人进来。在此基础上秘钥交换、加密才有真正的价值。
越重要的业务系统越需要安全接入,而VPN技术的特性恰好满足了这个需求:
1. 网络层准入控制:无论是WiFi接入、3G/4G接入,还是有线网络接入,VPN技术都能够随时、随地的完成统一网络层准入控制,帮助客户保障接入到内网的用户身份安全,例如通过利用用户名密码认证、CA认证、域控AD认证,双因素认证等等手段。
2. 商密算法的支持:用户认证、加密时使用的加密算法,可以根据客户的需求替换成高安全性的商密SM1、SM2、SM3、SM4算法,在身份安全的基础上,增强数据加密的安全性。
可以发现,合规要求中的VPN加密接入,解决了网络层准入控制的核心痛点,而这一点,移动办公客户最看重;同时VPN可以满足国家密码局商密算法的要求。
▲VPN接入流程图
相比SSL VPN,HTTPS弱点其实很明显:
1. HTTPS设计的出发点,默认就是信任客户端的,访问Google可以不用输入用户名密码,HTTPS对安全的关注都用在了验证Google网站的可信度上。在默认情况下,HTTPS是先建立加密通道,再让应用去验证用户身份;另外,HTTPS默认只能使用国际标准的加密算法,需要高成本的底层改造才能支持国家商密算法。
2. SSL VPN设计从一开始,就是不信任客户端的,只有先验证用户的身份,才能继续网络协商,建立网络层的加密通道;除此之外,SSL VPN可完美支持商密算法,满足政府、金融等合规需求场景。
HTTPS好比是让坏人和好人先进大堂,再查工卡过闸机,此时坏人已经进入大堂,有了可乘之机;SSL VPN是进大堂前,就要刷特制的工卡过闸机,只有带特制工卡的人才能进大堂。
除此之外,政企客户在有多个APP时,需要开放多个HTTPS的IP/端口,而SSL VPN只需要开放一个443端口,就可以无限扩展支持多个APP上线,有效减少暴露面,极大的降低网络风险。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:niceseo99@gmail.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
评论