云安全聯盟：軟件定義邊界在IaaS中的應用（47頁）.pdf

1、業務人員需要安全訪問在IaaS環境中運行的企業應用系統，如人力資源管理系統、財務、采購、費用、供應鏈等。這些應用可能是供應商提供的系統，可能是內部IT開發人員開發的應用系統，也可能處于生產環境或者測試/QA環境。在這些情況下，業務人員通常不需要考慮網絡或計算機的底層訪問協議（例如SSH或RDP）。向業務人員提供應用系統的安全遠程訪問有三種常見方式 ： 1）直接連接、2）VPN 和3）VDI。直接連接：在直接訪問的情況下，應用系統通常是一個Web應用程序，配置到公共互聯網環境下，不考慮訪問限制。在這些情況下，應用系統會暴露于各種因素（安全威脅）下，容易受到各種形式的攻擊，包括暴力破解，DDoS，

2、XSS和任何TLS漏洞（如心臟出血漏洞Heartbleed或貴賓犬漏洞Poodle）。VPN：通過VPN，內網及其所有的資源都將對該業務人員的設備開放。VDI：通過VDI，業務人員可以操作虛擬計算機（通常是Windows操作系統），這個虛擬機可以用作企業應用系統的啟動平臺。業務應用系統通常是一個需要“厚Windows客戶端”（較多在客戶端及服務器端的運算，較少的通信鏈接）的客戶端/服務器應用程序。通過SDP解決方案，只有授權用戶才能訪問業務應用系統。實際上，未經授權的用戶甚至無法訪問SDP網關 - 因為它受到單包授權SPA的保護，所以對攻擊者來說實際上是完全不可見。我們來看看不同的用戶的訪問需求，以及如何管理這種訪問。需求：Grace在公司總部的銷售部門工作。她需要通過由IT團隊開發的新銷售報告系統訪問重點客戶銷售報告。她經常拜訪不同地方的客戶，需要遠程運行報告，且該應用系統托管在Amazon AWS上。挑戰：Grace 在出差期間在機場和咖啡店訪問多個免費網絡。過去，IT 安全部門發現了她的筆記本電腦上的惡意軟件，他們擔心當 Grace 通過 VPN 訪問新的重點客戶銷售報告或返回公司總部時，惡意軟件可能會傳播到 AWS 基礎架構中（“星期一惡意軟件”）。