企业微信与深信服SSL VPN结合方案
背景简介
企业信息移动化浪潮下,越来越多的企业选择使用企业微信展开移动办公,企业微信凭借简单易用的特性及强大的开放平台,能够帮助企业更低成本的进行移动办公建设。企业微信提供了企业日常办公所需的即时通讯、通讯录、考勤、日报等功能,同时也有着丰富的第三方应用,用户可以按需选择所需的第三方办公应用,高效方便的进行移动办公。
随着企业移动信息化的发展,简单的即时通讯、审批、邮件等,已经无法满足员工移动化办公需要。基于企业微信提供的应用管理功能,企业可以在企业微信后台创建微应用,将内部的业务系统,如CRM、ERP、BI等以微应用方式接入企业微信,为员工提供丰富的移动办公应用。
需求分析
与企业微信本身提供的SaaS应用(考勤、审批、日报等)不同,企业内部业务系统机密性和安全要求更高,往往不会直接发布到互联网上,需要考虑如何在保障业务系统安全性的前提下,进行业务的移动化建设,既要满足员工随时随地通过企业微信访问内部业务系统进行办公的需求,又要保障业务系统在公网上的隐蔽性及接入的安全性,抵御各种安全风险及威胁:
数据传输泄密风险
企业的内部业务数据在不安全的Internet上传输,如果网络数据没有进行高安全级别的加密保护,那么数据很容易被黑客监听,甚至是被篡改, 终会导致无法估计的损失。虽然可以采用HTTPS传输,以及购买防火墙产品,但企业无法提供更多的人力投入,缺乏专业的安全运维人员,难以应对复杂的移动互联网威胁。
服务器暴漏威胁
移动OA的应用服务器部署在公网,应用服务器的IP信息暴露,将使得恶意黑客通过扫描手段探测服务器,发现可用的操作系统、中间件、数据库、应用服务的脆弱点,进而采用攻击和入侵手段,窃取敏感数据。
钓鱼WiFi及流量劫持威胁
由于移动办公需要面临更为复杂的网络环境,各种钓鱼WIFI也在威胁着企业移动办公的安全,员工在公共网络环境下使用内部移动办公系统,如果遭遇钓鱼WIFI,极容易被窃取企业机密信息或被诱导安装恶意程序;除了钓鱼WIFI之外,很多公共网络中存在大量流量劫持行为,随意对接入网络的应用推送弹窗广告,影响企业正常操作、损害企业形象。
解决方案
为了让企业能够在享受移动办公便利性的同时保障企业内部业务系统接入安全,企业微信和深信服共同发力,推出了基于深信服SSL VPN的企业微应用安全加固解决方案,通过SSL VPN将单位内网部署的业务系统进行发布,SSL VPN以单臂模式部署,在不需要改变当前网络结构的情况下即实现关键业务的安全发布,该方案 先通过SSL VPN将内网业务系统进行安全的发布,隐藏业务系统信息,保障了业务系统的安全,其次通过与企业微信的结合,直接在企业微信实现对VPN的调用和认证, 终通过SSL VPN+企业微信实现重要业务系统在互联网上的安全发布和接入。
方案数据流程如下:
图 SSL VPN与企业微信结合流程图
方案部署如下:
图SSL VPN与企业微信结合部署图
详细方案部署概述:
在不改变原来网络结构的情况下,内网业务系统前置设备上单臂部署深信服SSL VPN设备;
通过SSL VPN设备将总部的业务系统统一安全发布至VPN资源列表;
在企业微信管理后台创建微应用;
在企业微信管理后台配置VPN与内网业务系统的映射;
员工在企业微信中打开发布的企业微应用;
次打开微应用,引导员工下载MiniConnect APP;
员工打开微应用后,企业微信自动调起MiniConnect进行认证,MiniConnect传递认证信息到企业微信服务器进行认证;
通过认证后,VPN通道建立,员工可以正常通过微应用使用内网业务系统。
方案优势
方案部署简单易维护
广州铭冠信息深信服SSL VPN与企业微信结合的移动办公解决方案,企业微信中已经默认集成深信服VPN SDK,企业只需要在不影响网络环境的情况下单臂部署SSL VPN设备,就既能达到对企业微信中发布的内部业务系统的隐藏保护。在满足了用户更灵活,更安全的网络安全建设的同时,也满足了用户简化的运维需求。
端到端的安全接入
信服SSL VPN支持多种加密算法,如 AES、DES、3DES、RSA、RC4、签名算法等多种国际主流加密算法对数据进行强加密,保证数据传输的高安全性。同时深信服SSL VPN设计了丰富的权限控制策略及细致的访问审计,从多个维度全面的保护数据端到端的安全。
国产商用密码算法
数据加密是信息安全体系中重要的安全保障环节,随着科技的不断发展,常用的商业密码算法(如DES,RSA,MD5等)已确认可被破解。密码技术存在短板,安全设备就形同虚设,只有采用相对安全的密码算法,才实现真正的网络安全。因此,国家密码管理局出台了新的密码算法(SM1,SM2,SM3,SM4)并要求相关单位选用国产商用密码标准。深信服SSL VPN支持常见的国际通用商用密码算法,同时也支持国密局规定的国产商用密码标准,全面保障用户的业务安全。
应用服务器保护
将广州铭冠信息深信服VPN平台以单臂方式部署,通过配置使数据流经由VPN平台后走向内网服务器区,对办公网与服务器区这两部不同安全级别的区域进行隔离。由于VPN平台对外只开放443端口,从而可屏蔽掉其他端口的攻击。VPN平台的数据流处理方式可隐藏内网服务器区结构,并对服务器访问的IP、域名进行伪装。VPN平台在进行用户对服务器区发起的访问时,采用SSL VPN登录认证、细粒度应用访问授权、传输数据加密,从数据安全的角度提供隔离保护。
图 移动应用服务器隐藏
价值收益
安全保障
深信服企业微信微应用加固方案在企业发布业务系统到企业微信时,提供关键业务安全接入保护,通过SSL
VPN加密通道保障企业机密数据在互联网上的安全传输,防止传输过程中被监听窃密;完整的通道加密,防止流量劫持、广告注入;同时对外因此业务系统信息,避免业务系统被嗅探攻击。
体验保障
通过与企业微信的认证结合,在保障企业内网业务系统安全性的同时,不牺牲用户使用体验,用户在企业微信工作台通过微应用访问企业内部业务系统时,自动调起VPN并进行认证,无需用户任何干预, 终通过SSL VPN实现重要业务系统在互联网上的安全发布和接入。