安恒信息高级应急响应总监季靖评价称:“(Apache Log4j2)降低了黑客攻击的成本,堪称网络安全领域20年以来史诗级的漏洞。”有业内人士还认为,这是“现代计算机 历史 上最大的漏洞”。
工信部于2021年12月17日发文提示风险:“阿帕奇Log4j2组件存在严重安全漏洞……该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。”
就连国家政府部门也中招了。2021年12月下旬,比利时国防部承认他们遭受了严重的网络攻击,该攻击基于Apache Log4j2相关漏洞,网络攻击导致比利时国防部包括邮件系统在内的一些业务瘫痪。
此漏洞“威力”之大,连国家信息安全也受到波及。那么普通企业,特别是采用云服务的企业应该如何应对呢?疫情发生以来,大量企业、机构加速数字化进程,成为“云上企业”。传统环境下,企业对自身的安全体系建设拥有更多掌控权,完成云迁移后,这些企业的云安全防护是否到位?
2021年12月9日深夜,Apache Log4j2远程代码执行漏洞攻击爆发,一时间各大互联网公司“风声鹤唳”,许多网络安全工程师半夜醒来,忙着修补漏洞。“听说各大厂程序员半夜被叫起来改,不改完不让下班。”相关论坛也对此事议论纷纷。
为何一个安全漏洞的影响力如此之大?安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰认为:“影响广泛、威胁程度高、攻击难度低,使得此次Apache Log4j2漏洞危机备受瞩目,造成了全球范围的影响。”
“Log4j2是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发”,季靖表示,“据不完全统计,漏洞爆发后72小时之内,受影响的主流开发框架都超过70个。而这些框架,又被广泛使用在各个行业的数字化信息系统建设之中,比如金融、医疗、互联网等等。由于许多耳熟能详的互联网公司都在使用该框架,因此阿帕奇Log4j2漏洞影响范围极大。”
除了应用广泛之外,Apache Log4j2漏洞被利用的成本相对而言也较低,攻击者可以在不需要认证登录这种强交互的前提下,构造出恶意的数据,通过远程代码对有漏洞的系统执行攻击。并且,它还可以获得服务器的最高权限,最终导致设备远程受控,进一步造成数据泄露,设备服务中断等危害。
不仅仅攻击成本低,而且技术门槛也不高。不像2017年爆发的“永恒之蓝”,攻击工具利用上相对复杂。基于Apache Log4j2漏洞的攻击者,可以利用很多现成的工具,稍微懂点技术便可以构造更新出一种恶意代码。
利用难度低、攻击成本低,意味着近期针对Apache Log4j2漏洞的攻击行为将还会持续一段时间,这将是一场“网络安全大流感”。
传统模式下,安全人员可以在本地检测、打补丁、修复漏洞。相对于传统模式,“云上企业”使用的是云计算、云存储服务等,没有自己的机房和服务器。进入云环境,安全防护的“边界”不复存在,对底层主机的控制权限也没有本地那么多,同时还多一层虚拟化方面的攻击方式。
特别是疫情影响下,大量企业、机构开启数字化转型,从本地服务器迁徙到云服务器。短时间内完成云迁移,企业很可能缺乏对应的云安全管理能力成熟度;同时,往往也面临着安全能力不足、专业人手紧缺等情况。
面对这场史诗级的漏洞危机,“云上企业”应该如何应对呢?
在安恒信息高级产品专家盖文轩看来:“企业上云之后,传统的网络安全风险依然存在,此外,还会面临新的安全风险,比如用户与云平台之间安全责任边界划分等问题。另外,传统的硬件设备可能不适用于云环境,因此需要针对特殊情况部署相关安全服务。”
而在安永大中华区 科技 风险咨询服务合伙人赵剑澐看来:“面对快速上云,企业急需搭建满足自身业务发展与管理要求的安全保障体系。”
那么,对于这些“云上企业”,究竟是选择云服务商提供的原生安全服务,还是另寻第三方专业的安全服务商呢?
事实上,目前即使是高度自动化的云原生安全方案,也无法做到完全自主自治,仍然需要合格的云安全服务专业团队参与。高轶峰强调,对于中小型企业,选择满足资质的第三方专业安全机构,能够保证服务的独立性,保障工作顺利开展及服务质量。
每日经济新闻
1、稳定性:对于中小企业来说,业务稳定性比一切都重要,尤其是与企业生产相关的业务,一旦出现故障,就会影响业务的正常运行。2、安全:数据是公司的生命。一旦数据丢失或泄露,对企业来说可能是一场灾难。
3、弹性:对于中小企业来说,一次性投入大量成本进行商业部署,会影响公司的运营,尤其是在疫情的今天。对于中小企业来说,弹性可以在很大程度上节省成本。
4、易用性:与大公司不同,中小企业拥有专业的研发运维团队,所以对于中小企业来说,平台的易用性非常重要。
5、低成本:受疫情影响,很多中小企业经营困难,低成本可以缓解中小企业的经营压力。
云服务器推荐RAKsmart,目前有中国香港、美国(洛杉矶和圣何塞)、日本东京、新加坡等多个机房可选。RAKsmart云服务器的机房都接入了高质量运营商带宽,以便国内用户或海外用户获得优质的网络体验,最低配置为1核CPU、1GB内存、1M带宽,支持弹性配置,按需升级CPU核心数、内存及带宽大小等。
摘要 :疫情阶段,各类企业负责人都在考虑远程办公/协同办公,以保持公司业务的正常运行。目前各大企业也都推出了各自的远程办公/协同办公平台,比如阿里的钉钉、腾讯的企业微信、字节跳动的飞书等。但据调研,企业更多需求是员工在家能够直接访问企业内部业务系统、可直接访问办公室电脑完成业务工作的开展,而这一点是目前常见的协同办公平台不太容易实现的。要想实现企业对于直接访问内部业务系统、资源的需求,则需要建立起相对应的网络连接服务,且同时要提供固定的可访问IP地址,用于直接访问。Abstract : during the epidemic stage, all kinds of enterprise leaders are considering telecommuting / collaborative work in order to maintain the normal operation of the company's business. At present, major enterprises have also launched their own telecommuting / collaborative office platforms, such as Ali's DingDing, Tencent's WeChat Work, ByteDance’s Fei Shu and so on. However, according to research, more demand of enterprises is that employees can directly access the internal business system at home and can directly access the office computer to complete the development of business work, which is not easy to achieve in the current common collaborative office platform. In order to realize the voluntary demand for direct access to the internal business system, it is necessary to establish the corresponding network connection service, and at the same time provide a fixed accessible IP address for direct access.
关键词 :疫情,远程办公,协同办公,网络连接
自2019年12月爆发新冠肺炎(COVID-19)以来,尤其是过完春节假期,远程办公需求就大量爆发了。对此,市场上涌现出大量的远程办公/协同办公平台,各大互联网厂商相继下场,以期占领这个突然爆发的并不算新兴的市场。
但是通过笔者对这些协同办公平台的试用结果来看,都不是特别能够满足个人需求。当前市场上所涌现出的这些远程办公平台,更多倾向于协同文档、视频会议等应用场景,而并未充分考虑远程访问企业内部业务系统和办公资源这一场景。
经过多轮的认证分析之后,笔者认为要想实现对企业内部业务系统和办公资源的访问,还需要满足3点要求:(1)具备公共网络访问能力;(2)至少有1个固定IP地址,以绑定相关的业务系统;(3)支持配置虚拟网络连接服务。
笔者建议企业在建设远程异地访问内部业务系统和办公资源综合网络时,充分考虑使用SDN(Software Defined Network,软件定义网络)和NFV(Network Function Virtualization,网络功能虚拟化)技术,以实现上述3点要求。
而综合考虑,虚拟化SD-WAN服务能够最大限度地满足这些要求,虚拟化SD-WAN服务可在不增加额外的软硬件系统的基础上,充分实现企业办公室设备和员工家庭设备之间的快速智慧连接,完成办公综合网络的建设工作。
要想了解虚拟化SD-WAN服务,那就必须要对SD-WAN服务有着一定的了解。
SD-WAN全名即Software-Defined Wide Area Network(软件定义广域网),其服务基于高品质的公共网络资,利用SDN/NFV技术重新构建骨干网络,助力企业用户快速实现总部与分支机构互连、数据中心互连和云服务互连。
简单来说,SD-WAN由两部分组成:SDN Router(简称白盒终端)和SDN Controller(SDN控制器),其中SDN Router负责数据流量的转发工作,SDN Controller负责数据流量转发的路径计算。两者的密切结合,实现了传统网络架构所不具备的转控分离(数据转发平面和路径控制平面)功能,将原本Router或Switch的功能进行分离,在SDN Router仅保留数据流量转发能力,而将路径选择、路由计算能力交给SDN Controller处理。
这样的设计结构,使得SD-WAN服务在网络连接、数据转发方面的效率大幅提高,能够做到及时的路径路由调整,对网络拥塞有着相当的提前预判和管控能力。
SD-WAN服务需要在各连接机构、单位部署SDN Router,所以一般来说SD-WAN更多应用于企业互连。对于疫情阶段个人用户的适用性并不强,为每个员工安装一台SDN Router同时建立IPsec隧道连接的成本过于高昂。
基于此,SD-WAN服务虚拟化的需求大幅提升。如何将SDN Router实现的功能虚拟化在X86或ARM架构的机器上,就成了疫情期间SD-WAN服务商需要考虑的大事情。应对如此局面,多数企业选择将以往部署在服务器端的vCPE安装在员工家用PC机,但这样的方案对员工家用PC机以及个人IT技能素质提出了相对较高的要求:(1)硬件系统配置要求相对较高;(2)软件系统需要Linux环境,意味着要么将原本的非Linux操作系统重装成Linux系统,要么安装虚拟机;(3)部署过程对员工的IT技能要求相对较高,既要懂得IT网络知识,又要懂得Linux操作命令等。
如何将SD-WAN服务能力简单的虚拟化,并且支持在多种操作系统(桌面端:Windows/Linux/MAC OS,移动端:Android/iOS)简单安装即可使用,就成了研究的新方向。
虚拟化SD-WAN服务无需为每个用户部署一台SDN Router,也无需将传统对配置要求有较高要求的vCPE部署在客户机器,只需要简单安装一款软件,即可在客户机上生成一张虚拟网卡,并且通过云端SDN Controller为其分配一个虚拟的私有网络IPv4地址,用以连接对等的其他虚拟SDN Router,完成整个虚拟化SD-WAN服务的建立。
江苏澳云软件技术有限公司(JAST)在新冠肺炎疫情期间推出了面向企业和个人的虚拟化SD-WAN服务——云域网(JASTVIN)。该服务由SDN Controller(Virtual Segmentation Platform,VSP)和VIN Connect Client两部分组成。
云域网(JASTVIN)是一款基于SDN/NFV技术开发的虚拟化SD-WAN服务,经由云域网(JASTVIN)传输的数据流量不会经过第三方服务器,采取Full-Mesh网络结构,安装有VIN Connect Client的对等实体相互之间点对点(Point-to-Point,P2P)连接。基于企业内部办公网络或个人家庭宽带网络,在部署云域网(JASTVIN)服务时,无需重新布线、无需新增硬件系统,只需要在需要加入到虚拟网络中的终端设备安装VIN Connect Client软件,通过VSP的鉴权认证审核之后,VIN Connect Client对等实体即可不受地域限制,在全球范围内只有能够连接上公共网络的地方均可以快速建设局域网环境。
云域网(JASTVIN)服务的建设,不依赖于硬件系统,相应的就没有硬件维护成本;支持一个VIN Connect Client实体连接其他多个同一User Domain内的其他VIN Connect Client对等实体;基于云域网(JASTVIN)服务的数据流量传输,不会经过第三方服务器的存储转发,各VIN Connect Client终端之间点对点直连,实现数据安全和传输效率最大化。
传统SD-WAN服务中的SDN Controller,在本文介绍的虚拟SD-WAN服务中称之为VIrtual Segmentation Platform,以下简称VSP。
VSP需要部署在CentOS 7.2及以上系统,支持一键安装命令。
VSP支持虚拟网络建立、用户管理、证书管理、软件授权、日志推送、系统状态等能力,其中虚拟网络建立是VSP的最核心能力,通过授权邀请使需要建立虚拟SD-WAN服务的终端设备加入到同一个User Domain中,用以建立虚拟SD-WAN服务。
传统SD-WAN服务中的SDN Router,在本文介绍的虚拟SD-WAN服务中称之为VIN Connect Client,VIN指的是Virtual Invisible Network,意为虚拟隐形网络。
VIN Connect Client支持在广阔范围内建立虚拟网络连接,原本物理隔离的多个局域网通过Virtual Tunnel组建成一个逻辑局域网,形成一张大型的虚拟专用网络。
利用VIN Connect Client建立的虚拟专用网络,其通过Virtual Tunnel来传输数据流量。该Virtual Tunnel的建立采用了IPsec安全加密机制、AES128加密算法,确保各VIN Connect Client对等体在进行通信连接时的数据安全。
通过图3-1可以看出,已经建立了虚拟SD-WAN服务的5台客户机,这其中有处于同一网络环境的客户机,更多的是处于不同网络环境下的客户机(其中GUFENG这台机器为本次测试主机)。但同时也可以看出,在虚拟SD-WAN服务下,这5台客户机均生成了172.20.110.0/24这一网段的虚拟私网IPv4地址,即可完成虚拟网络的建设。
一旦建立起虚拟网络连接之后,无论这些客户机出于什么位置、什么公共网络环境下,都可以做到相互连接、相互访问,好比处于同一局域网络环境下。
通过图3-2所示,位于不同网络环境下的两台主机(GuFeng和胥萧雨)可以实现正常的连通。
跨地区异地组网是云域网(JASTVIN)服务最核心的能力,通过云域网(JASTVIN)虚拟SD-WAN服务在安装有VIN Connect Client的客户机上生成虚拟IPv4地址,从而建立起虚拟专用网络,完成智慧连接、智能组网。
通过云域网(JASTVIN)虚拟SD-WAN服务,可以将广阔地理范围的企业内部业务系统、办公电脑,员工家用电脑、平板等终端设备连接在一起,实现身临其境的远程异地办公操作。
随着企业全球化、信息化的发展,企业的商业和业务运行模式较之于传统模式发生了天翻地覆的变化,业务云化、移动化、物联网化,传统的企业网已经无法满足企业新的发展趋势。对此,传统企业网面临越来越多的挑战。
Ø 专线成本过高,运营费用大;
Ø 分支机构网络环境复杂,开通周期长(多为1~3个月);
Ø 自建网络质量难以保证;
Ø 应用无感知,带宽被抢占;
Ø 关键业务、敏感数据体验难以保证,用户体验较差;
Ø 故障定位困难,IT支撑团队技能要求高,维护成本巨大。
对于分支机构、外勤员工数量众多的企业来说,更希望有一套完善的远程异地办公方案。一般来说,异地办公需要解决好如下几个问题:
①方便、快速访问企业内部系统(包括文档共享、OA/ERP/CRM、SVN源码协作平台、共享打印机等);
②支持移动设备的异地办公;
③支持多种方式联网(包括宽带互联网、4G/5G等);
④低成本,高质量的网络链路;
⑤运维简单,支持零基础部署。
根据企业客户实际应用场景需求,可将VSP管理平台部署于企业指定厂商的云服务器上,按需在员工设备上安装VIN客户端软件,同时需要在OA/ERP/CRP、文件、SVN等服务器上安装VIN客户端。
按照实际需要,将需要互访的系统服务器、员工设备终端加入到相应的User Domain内,即可完成虚拟网络的建设。
在指定的云服务器(系统镜像要求CentOS 7.2+)上部署VSP Platform,需要进行管理的公有云/私有云服务器和本地终端设备上安装VIN Connect Client。当终端设备或云服务器开机运行后,VIN Connect Client将自动运行,并向VSP Platform发送注册请求,VSP Platform鉴权、认证通过后,所有装有VIN Connect Client的本地或是云上服务器即可实现互相连接,无视复杂的网络环境,实现混合云业务管理。
根据不同的云端业务需求,在VSP Platform创建不同的User Domain,将需要实施管理的终端设备或服务器添加到该User Domain,即可完成业务隔离的混合云管理方案。
云域网(JASTVIN)虚拟SD-WAN混合云管理方案,在高效、安全、可靠的基础上,还较之传统混合云解决方案有着巨大高性价比优势。
伴随着云技术与市场的不断壮大,企业用户可以选择采用公有云,并将其私有化的方案解决传统IDC私有云建设的弊端。 云域网(JASTVIN) 虚拟SD-WAN 公有云私有化服务方案 适用于下列技术要求。
①数据安全性要求高:JASTVIN公有云私有化解决方案支持通过设置将公有云只能通过私有IP进行访问,做到业务数据安全隔离;
②便捷运维,降低成本:企业用户要求运维服务快速响应,降低企业在IT运维阶段的支出;
③业务系统可用性要求较高:支持链路备份能力,保证用户在可联网状态下的业务系统访问能力;
④多分支机构企业应用:支持多分支机构的应用,保证系统访问不受时间和空间限制。
在指定的云服务器(系统镜像要求CentOS 7.2+)上部署VSP Platform,需要进行管理的公有云服务器和本地终端上安装VIN Connect Client。当终端设备或云服务器开机运行后,VIN Connect Client将自动运行,并向VSP Platform发送注册请求,VSP Platform认证通过后,所有VIN Connect Client对等实体即可完成智能组网。
在公有云服务器控制中心进行“禁止公共网络访问”的安全策略设置,如此公有云服务器只能由安装了VIN Connect Client并经过VSP Platform认证的终端设备,通过VIN Connect Client生成的虚拟私有IPv4地址访问,即可实现公有云私有化。企业用户即可花着公有云服务的钱,既享受着公有云海量的弹性计算、网络、存储等资源,又享受私有云的高安全性。
把云服务器当做终端设备使用,VIN Connect Client可以很好的兼容云服务器多种操作系统(Windows/Cent OS/Ubuntu)而不区分服务供应商。终端设备通过VIN Connect Client与VSP Platform通信,用户只需要给每台“终端设备”安装VIN Connect Client,并使之与VSP Platform保持连接。当“终端设备”启动时,VIN Connect Client将主动向VSP Platform发起注册请求,握手通信成功后保持与VSP Platform的长连接,可实现云和本地网络的完美融合。
VIN Connect Client支持移动端接入:云网通的解决方案适用于本地化部署办公,当客户遇到移动办公的需求时,VIN Connect Client可很好的解决客户的需求。VIN Connect Client部署在客户需要移动办公的终端设备上,保持与VSP Platform的连接,即可实现移动端接入内网或云服务器。
无需变更用户现有网络架构,企业用户可灵活增加或删减设备节点,保证云服务器和本地终端设备之间的连接有效性。不同的业务需求,均可以通过将VIN Connect Client添加进同一个VSP Platform内所创建的不同User Domain实现智慧连接服务。
企业用户可随意增加本地局域网与异地局域网、本地局域网与公有云、公有云与公有云之间的连接交互服务。云域网(JASTVIN)可很好的解决两两之间的连接交互问题,本地局域网、异地局域网、云服务器都可通过VIN Connect Client接入同一个VSP Platform,客户只需在指定的云服务器(系统镜像要求CentOS 7.2+)上部署VSP Platform,需要进行管理的公有云或是私有云服务器和本地局域网中安装VIN Connect Client。当终端设备或云端服务器开机运行后,VIN Connect Client将自动运行,并向VSP Platform发送注册请求,VSP Platform鉴权、认证通过后,所有装有VIN Connect Client的本地局域网终端设备或是云端服务器可实现互相连接,无视复杂的网络环境,轻松实现连接交互服务。
江苏澳云软件技术有限公司是为用户提供基于SDN技术解决方案的专业服务商,主要提供基于云域网(JASTVIN)虚拟SD-WAN产品的各类企业办公解决方案,同时可根据用户需求提供个性化解决方案。公司致力于中国创新网络连接技术发展,将虚拟化技术与网络相结合,开创了高效且便捷的网络新模式,为各种规模的组织及公司提供世界500强企业才有的网络安全保障。
江苏澳云软件技术有限公司始终以“客户的需求就是命令”为客户服务使命、以“让工作更加高效便捷”为愿景,助力企业办公更加高效、安全,实现进一步的降本增效。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)