传统的 VPN 解决方案对于敏捷的 DevOps 团队施加了严重的性能惩罚,尤其是当分散的团队需要访问 Google Cloud 的资源时。虽然更好的 VPN 解决方案已经存在,但对于 Google Cloud 安全性而言,最佳的方法可能是完全放弃 VPN。
什么是 Google Cloud VPN?
企业信任 Google 的云端资源,因为 Google 对安全性的重视。从资料中心的激光入侵检测、专用硬体上的安全芯片到内部网络的加密,Google 在其云基础设施中从根本上整合了安全设计。然而,访问其托管资源的管理则由每位客户自行负责。
当然,谷歌也提供了一系列的安全工具,但需付费,这些工具与 Google Cloud 平台的整合度较高。Google Cloud VPN 将您的本地网络与 Google 虚拟私有云网络连接。其3Gbps的有限带宽更适合小型企业。而且,由于 Google Cloud VPN 不支持远程访问,因此公司仍然需要使用其他供应商的 VPN 解决方案。
Google Cloud 安全的替代 VPN
Google Cloud 市场提供了一些第三方安全解决方案,这些解决方案符合 Google 的整合和安全要求。市场上的安全供应商涵盖了从小型企业 VPN 服务到企业信息解决方案提供者的广泛范围。
袋鼠加速器下载开源项目 OpenVPN 的创始人也维护著一个专为企业设计的专有版本。OpenVPN Access Server 为开源平台增加了管理工具和其他功能。然而,开源贡献者往往更关心处理技术挑战,而非改善用户体验。因此,OpenVPN Access Server 的部署、管理和使用可能会变得困难。
像 Juniper Networks 和 Check Point 这样的企业级信息解决方案供应商,亦调整其安全产品以兼容 Google Cloud。这些功能全面的企业防火墙是综合安全套件,VPN 只是其中一项功能。当公司已经在使用这些解决方案时,这些选择最为合理。否则,您将面对整合另一个供应商的产品并应对必然冲突的挑战。
VPN 是否是 Google Cloud 的合适安全解决方案?
无论您选择 Google 的内部解决方案、社区开发的项目,或是企业级服务,任何 VPN 产品都受制于这项技术的固有限制。坦白说,VPN 已经不再适合现代需求。
在 1990 年代,VPN 是合情合理的,因为您可以假设您的资源受到专有网络的保障。每个人都通过网络上的受管理设备访问这些资源,仅有少数几名员工需要远程访问。VPN 闸道让这些受信任的人能够穿越安全边界。
如今的网络边界已延伸至企业外部。它必须保护托管在如 Google Cloud 及第三方 Xasaservice 提供商上的资源。同时,BYOD 政策、无处不在的无线网络、在家工作计划、外包和合同使得通过边界管理访问变得更加复杂。
在这种环境中,信任是传统 VPN 技术的核心弱点。VPN 信任其网络边界安全且信任所有连接到该网络的资源。VPN 信任所有认证用户,并授予他们全面的网络访问权限。与此同时,VPN 忽视访问本地网络的用户和设备,因为它们被认为是受信的。
如果任何用户、设备、资源或网络受到侵害,则 VPN 可能成为一个可被利用的漏洞。公司为了让 VPN 在这种动态环境中运作而采取的措施,往往令网络安全变得更加脆弱并且难以响应业务需求。
停止依赖信任以改善安全性
零信任是一种安全框架,消除了 VPN 的弱点。与其预设信任一切,零信任假设每个设备、用户、资源和网络都可能在任何时候受到侵害。身份验证是在每一个短暂会话中进行的。与其授予整个网络的访问权限,零信任安全仅在公司的访问控制政策范围内授权访问特定资源。
Google 在 2009 年遭受国家支持的攻击后,开创了零信任的范式。其 BeyondCorp 计划发展至今,使公司的所有内部资源都拥有公网地址。Google 的员工和承包商能够从世界任何地方快速访问这些资源,而无需使用传统的 VPN。
利用 Twingate 的软体定义边界保障 Google Cloud 安全
Twingate 将零信任安全提升到新水平,将其整合于软体定义边界SDP的框架中。SDP 由美国国防部原创,运作基于两个原则:永不信任、始终验证和需要知道原则。第一个原则与支持 Google 的 BeyondCorp 相同。
需要知道的原则通过使所有资源无论是在本地还是在云端变得不可见,增加了一层额外的安全性。Twingate 的 SDP 访问节点是一个反向代理,部署在资源和其网络之间。访问节点不会广告其存在,并默认拒绝连接请求。
唯一被允许的连接来自 Twingate 的 SDP 控制器,该控制器根据已建立的访问控制政策,与公司现有的安全堆叠一起验证用户和设备。
运行 Twingate SDP 客户端的终端用户设备对公司的网络或资源没有可见性。客户端将每个连接请求发送到控制器。一旦验证,客户端与访问节点之间将建立一个端到端加密的私有隧道。此连接仅授予用户访问特定资源的权限,并且仅在会话期间有效。一旦客户端断开连接,就会失去对资源的所有访问权限,直到重新通过控制器进行身份验证。
在没有 VPN 的情况下提升 DevOps 生产力
Twingate 的零信任安全方法经过优化,旨在满足 DevOps 团队的需求。
终端用户的生产力得以提高。他们像消费者一样便捷地安装客户端,无需改变操作系统。终端用户无需处理多个 VPN 客户端和网关配对以访问不同资源,因为所有资源的连接都由单一控制器来管理。由于 Twingate 不像 VPN 闸道那样集中网络流量,因此访问节点与客户端之间的直连隧道能为终端用户提供快速的资源访问。
对于 DevOps 管理员来说,Twingate 的软体定义边界也简化了他们的工作流程。新用户可以通过一键式登录和自助配置快速设置。部署访问节点只需要一行 Docker 命令。而且,由于 Twingate 的 SDP 安全可以处理所有 TCP 或 UDP 流量,管理员无需改变资源、网络或现有的安全堆叠。
联系 Twingate 了解更多如何利用零信任的软体定义边界加强 DevOps 安全。
