11 | 11 | 2020

8倍远程工作最佳技巧,企业面临的挑战–我们的解决方案

如何通过混合使用VPN和SD-WAN解决方案来提高远程和移动工作人员的安全访问权限? 许多企业为远程员工处理不断增长的分布式工作负载。 我们将研究安全访问服务边缘(SASE),这是一种新的安全体系结构和解决方案,其产品和供应商不断增长,它们有望将网络和安全技术与云基础服务融合在一起。

金融和银行业面临着远程劳动力的许多挑战; 我们将以这个行业为例; 但是,无论规模大小,任何组织都可以采用此模型。

关于如何解决组织中集成远程员工的任何问题,挑战和疑虑的前8x问题与解答:

1.公司数字资源被大量人访问。

过去,我们有10 – 20%的人在出差中远程工作,而现在有80 – 90%。 现在,Covid19推动了如此巨大的需求,我们如何应对这些需求? 重点在于入口点和安全措施的效率,通过这些入口,必须通过流量,对其进行验证并验证最终用户。

  • 认证 是远程访问的重要因素,我们强烈建议使用MFA或2FA,它有什么作用? 知识库 –用户,只有用户知道的东西,  藏 –只有用户才拥有的东西,  固有 –用户,只有用户才是。 这样可以确保最终用户的完整性,只有组织的用户才可以通过,而没有其他人可以通过。 微软的研究表明,其帐户(MFA)最终将阻止99.999%的自动攻击。
    由于所有用户都拥有智能手机,因此只需最少的投资即可实现。 需要与Active Directory和Edge VPN集中器进行某种集成,以在整个组织中实现防弹的安全身份验证。
    (请检查我们在MFA上的帖子)
  • 带宽 是企业业务的关键方面。 但是,最有可能的是,VPN客户端身份验证有12个或更多Extranet入口点。 现在,到Internet的专用电路价格合理,并提供足够的带宽。 请与通常的ISP核对以升级那些上行链路上的现有带宽。 毕竟,您可以以每月1美元的价格在家中拥有20Gb光纤宽带。
    这个问题需要迅速解决,因为它会给用户带来不良的体验并拖延工作目标; 随后,您的客户将受苦。
  • 防火墙和下一代防火墙不能 仅过滤源和目标IP地址和端口上的流量,但是它们还可以允许或拒绝该用户所属组中的流量。 这样可以实现非常精细的过滤。 仅授予用户访问所需服务的权限。 可以扩展并与公司中的其他服务集成以提供另一层安全性
    (请查看有关下一代防火墙的文章)
  • VPN客户端 提供端点(用户设备)和数据中心之间的加密隧道,还提供到应用程序和服务的路由。 同样,VPN客户端,下一代防火墙,VPN集中器是全局的一部分,在此图中,只有选定的路由可以分配给用户,以等待其访问角色。 在一个简单的示例中,HR用户不应具有路由和访问IT管理平台的权限。
  • 云端,无论是AWS,Google还是Azure,许多金融和银行机构已经拥有连接到云服务的专用电路。 利用这些连接优势。 VMware提供了内置SD-WAN的SASE(安全访问服务边缘)服务。
  • 网络自动化 –面对复杂的网络更改以适应您的远程劳动力,我们需要采取网络主动权。 拥有网络自动化解决方案可帮助企业轻松应对网络变化。 图形化的全过程计划工具可以在10分钟内完成小型有线和无线网络的部署。
    (注意:网络自动化不应该在这里,因为部署了完整网络自动化的企业的LAN带宽在40 – 100Gb或更高,并具有到Internet和云的10Gb冗余上行链路。我们包括“网络自动化”证明我们也研究了这项技术)

重要的是,可以对最终用户使用加密连接进行身份验证,并确保合法用户只能访问所需的服务。 这可以由组织内的防火墙和其他服务来控制; 组,路由,访问列表。 就像在日本的城堡中一样,这需要经历多个层次,因此世界上没有什么开放的。 一个良好的网络设计,充分利用内部硬件,并在需要时进行一些更改,应该可以达到本节中的上述几点。

v500系统| 远程工作解决方案

2.数据访问的安全性,所有服务器,服务,应用程序都无法向世界公开

公司的数字资产永远不会对世界开放。 它必须是一个严密的秘密。 在任何数据网络中,工作环境中的应用程序和服务都可以隔离,并根据需要隔离为不同的块,层。 如果我们采取简单的方案-最终用户在家中要从公司SharePoint服务器访问文档,则典型的设置用户流量中将遍历网络设备的哪一层?

1.在家里,用户可以快速连接到Internet并启动与公司网络的VPN连接。 现在,用户设备与数据中心中的VPN集中器之间的整个会话都已加密。 边缘路由器仅允许来自Internet的IPSec通信,而仅允许第一层过滤。
如上文第1点所述,必须对用户进行身份验证,最有可能使用MFA方法建立安全VPN隧道。

2. VPN集中器中的流量在公司网络中被解密,并发送到Extranet下一代防火墙进行进一步严格检查; ACL,用户组ACL,IPS。 在这一层(Extranet防火墙)中,过滤必须是最精细的,很多时候我们听说公司很想“放松”规则库,这是一个巨大的错误。 第一道防线应该牢固

3.根据用户的策略,流量可以进一步路由到LAN防火墙进行进一步检查。 在这一层,普遍使用IPS和其他安全工具阵列来检查和监视流量

4.用户流量正在负载均衡到最终服务器。 反向过程将从最终服务器到最终用户。

典型 远程访问VPN, 可以配置为主动/主动或主动/待机

v500系统| 远程访问VPN

3.远程系统管理和对系统,威胁,用户完整性的访问

系统管理

在任何大型和企业组织中,管理块和带外管理都是为此目的而设计的环境。 关于服务器,ILO,RSC,KVM连接用于管理服务器场基础结构。 通常,管理员通过局域网防火墙从指定的堡垒或跳转服务器连接到服务器。 现在我们面对的是,管理员最经常被迫远程工作,可以如上面第1点所述轻松地将此功能扩展到VPN解决方案。

威胁与用户诚信

向用户颁发了公司笔记本电脑,这些笔记本电脑是根据公司规范构建的,具有防病毒功能,并且提供了用于更新所有操作系统补丁和软件漏洞的系统。 许多组织使用网络准入控制(NAC)系统,该系统会在用户设备连接到公司网络之前检查用户设备,无论这是通过LAN还是VPN连接。 如果不满足任何条件,则将强制用户进行更新。 这些类型的过程可确保只有“健康”的计算机才被允许进入网络。

请在我们的文章中阅读有关NAC的更多信息.

关于用户完整性,我们在第1点中提到了很多– 多因素验证 是检查最终用户完整性的最佳方法之一。

使用公司VPN在家里进行远程工作

4.使现有系统适应远程服务和使用。 并非所有系统都是平等的,并且以相同的方式允许访问

每个公司都不一样,并且有许多其他习惯。 这通常是由他们所占据的部门决定的。 例如,一家会计公司将需要对需要筛选千兆字节数据的媒体公司进行单独的远程访问。 对某些人有用的并不意味着它必须对其他人有用

远程桌面连接(TCP 3389),这不是一个好主意,因为许多系统已使用此方法破坏了性能,另外还带来了糟糕的用户体验。
我们想关注的事实是,大多数通信是在您的组织内部发生在数据库,应用程序和服务之间。 良好的VPN客户端连接或WebVPN应该为您提供对资源的强大而安全的访问,而不是使用某些老式的方法。 我们将在下面的第5点“带宽”中进一步介绍它。

5.带宽,连接效率以及远程访问大量数据的问题

许多公司都在抱怨远程工作人员的带宽,让我们逐个来看一下

主页 –如果您知道您将花费大部分时间在家中进行远程工作,那么现在就有机会投资于提供快速连接的优质ISP。 许多人转向了光纤宽带。 还请记住,在人口稠密的地区,您并不是唯一一个在远程工作的人,在Covid19中,孩子们正在连接学校。 与您的ISP交谈并升级您的服务。

数据中心 –应该具有许多可扩展的远程访问访问点,我们在第1点中提到了这一点。如果问题仍然存在,则公司应升级带宽或添加更多连接。 在企业环境中,世界范围内通常有12倍以上。
我们还想解释一下,在当前时代,数据保留在数据中心内,统计数据表明70%的数据仅在数据中心内移动。

产品应用领域 –公司应该投资于瘦客户机,而不是吸收大量带宽的老式“胖应用”。

–利用云连接,而不是直接通过VPN将2Gb复制到公司服务器,上传到云中的安全位置,并利用公司与云之间的现有混合连接。

广域网 –该解决方案在设计时考虑了分支机构或位置,但是在家中工作的用户往往会获得更多的支持。 不仅可以同时为您提供与企业网络的安全连接,而且还具有到云的可靠上行链路,例如Office365和一系列其他应用程序。

6.网络会议的效率和效力,沟通问题,连接质量。 进行会议的用户环境

Cisco Webex,Microsoft Teams和Huawei IdeaHub是基于云的解决方案,可提供与最终用户的安全连接并最大程度地减少延迟(延迟)。 如果您仍然遇到协作问题,那么现在是更换合作伙伴的好时机。

基于云的解决方案具有很好的可扩展性,可以适应用户的需求。 通过从家中连接到Cloud Collaboration服务,您可以绕开组织中潜在的瓶颈,同时节省带宽。 过去,由于有了SDWAN等新技术,所有连接现在都通过数据中心进行,因此无论哪种连接都能保证流量。

v500系统| 案例研究商业用Skype

7.员工参与远程工作的积极性

刚开始,对某些内容进行调整可能并不容易,而且总有故事的一面。 只有通过公司内部的明确沟通并解决任何问题,才能实现正确的工作环境。 下面是管理远程团队的一些最佳做法:

  • 给员工一种归属感
  • 为远程工作者定义目标
  • 改善整体内部沟通策略
  • 经常沟通并积极主动
  • 提高协作效率
  • 培养成长心态
  • 利用技术
  • 确保家庭用户拥有正确的工作环境,并且每5-45分钟应休息50分钟。 在办公室里,我们自然会被其他人分心
  • 舒适的家具和良好的照明。 坐办公室椅子或办公桌可能是个好主意。
  • 星期五下午在同事之间举行非正式的非正式网络会议

8.远程工作的法律规定

您公司的人力资源和法律部门应该对远程工作情况有明确的指示,并据此为您提供建议。

总结

有很多需要采取的措施。 我们认为,应首先解决最紧迫的挑战。 但是,进化胜于革命。 实践证明,良好的规划和设计可以带来成功的变更。 我们讨论的许多关键项目均来自我们自己的经验,我们已经部署了它们,并且我们知道它们有效。
公司网络的安全性是最重要的事情之一,请不要通过实施快速但并非完全可以理解的更改来破坏它。

如果您在上述解决方案上需要任何帮助,或者需要建议,请通过以下方式与我们联系: hello(at)v500.com,我们很乐意回答您的任何疑问。

其他一些有用的帖子:

是什么使出色的数据网络设计出色?

云计算和混合网络案例

10基础架构的顶级网络设计最佳实践

Web应用程序防火墙(WAF) - 应用程序的屏蔽

是的,您的企业需要下一代防火墙。 这就是为什么。

相关文章

20 | 02 | 2021

智能文档处理解决方案如何使法律部门受益?

如今,许多律师事务所都使用手动过程从文档和表格中提取数据并将其传输到处理软件,这很慢并且会导致错误。
04 | 02 | 2021

我们关心环境,因此我们在AWS WorkDocs上运行无纸化办公室

像许多其他公司一样,我们希望开展无纸化业务,保护环境,并节省资金,存储空间,并使所有内容保持机密和安全。 一个无纸化办公室的想法诞生了……
09 | 01 | 2021

云是一种经济有效的解决方案吗?

我们可以在下几段中回答这些问题-什么是云计算? —使用Internet上托管的远程服务器网络而不是本地服务器或个人计算机来存储,管理和处理数据的做法。
20 | 11 | 2020

AWS VPC有哪些网络元素?

在本文中,我们希望为您带来Amazon Web Services(AWS)的所有网络组件。 我们将仔细研究每个元素,它的作用以及它如何适合整个基础架构。