企业微信与深信服SSL VPN结合方案

发布日期:2019-08-21

背景简介
企业信息移动化浪潮下,越来越多的企业选择使用企业微信展开移动办公,企业微信凭借简单易用的特性及强大的开放平台,能够帮助企业更低成本的进行移动办公建设。企业微信提供了企业日常办公所需的即时通讯、通讯录、考勤、日报等功能,同时也有着丰富的第三方应用,用户可以按需选择所需的第三方办公应用,高效方便的进行移动办公。
随着企业移动信息化的发展,简单的即时通讯、审批、邮件等,已经无法满足员工移动化办公需要。基于企业微信提供的应用管理功能,企业可以在企业微信后台创建微应用,将内部的业务系统,如CRM、ERP、BI等以微应用方式接入企业微信,为员工提供丰富的移动办公应用。
需求分析
与企业微信本身提供的SaaS应用(考勤、审批、日报等)不同,企业内部业务系统机密性和安全要求更高,往往不会直接发布到互联网上,需要考虑如何在保障业务系统安全性的前提下,进行业务的移动化建设,既要满足员工随时随地通过企业微信访问内部业务系统进行办公的需求,又要保障业务系统在公网上的隐蔽性及接入的安全性,抵御各种安全风险及威胁:
 数据传输泄密风险
企业的内部业务数据在不安全的Internet上传输,如果网络数据没有进行高安全级别的加密保护,那么数据很容易被黑客监听,甚至是被篡改,最终会导致无法估计的损失。虽然可以采用HTTPS传输,以及购买防火墙产品,但企业无法提供更多的人力投入,缺乏专业的安全运维人员,难以应对复杂的移动互联网威胁。
 服务器暴漏威胁
移动OA的应用服务器部署在公网,应用服务器的IP信息暴露,将使得恶意黑客通过扫描手段探测服务器,发现可用的操作系统、中间件、数据库、应用服务的脆弱点,进而采用攻击和入侵手段,窃取敏感数据。
 钓鱼WiFi及流量劫持威胁
由于移动办公需要面临更为复杂的网络环境,各种钓鱼WIFI也在威胁着企业移动办公的安全,员工在公共网络环境下使用内部移动办公系统,如果遭遇钓鱼WIFI,极容易被窃取企业机密信息或被诱导安装恶意程序;除了钓鱼WIFI之外,很多公共网络中存在大量流量劫持行为,随意对接入网络的应用推送弹窗广告,影响企业正常操作、损害企业形象。
解决方案
为了让企业能够在享受移动办公便利性的同时保障企业内部业务系统接入安全,企业微信和深信服共同发力,推出了基于深信服SSL VPN的企业微应用安全加固解决方案,通过SSL VPN将单位内网部署的业务系统进行发布,SSL VPN以单臂模式部署,在不需要改变当前网络结构的情况下即实现关键业务的安全发布,该方案首先通过SSL VPN将内网业务系统进行安全的发布,隐藏业务系统信息,保障了业务系统的安全,其次通过与企业微信的结合,直接在企业微信实现对VPN的调用和认证,最终通过SSL VPN+企业微信实现重要业务系统在互联网上的安全发布和接入。
 方案数据流程如下:

图 SSL VPN与企业微信结合流程图
 方案部署如下:

图SSL VPN与企业微信结合部署图
 详细方案部署概述:
 在不改变原来网络结构的情况下,内网业务系统前置设备上单臂部署深信服SSL VPN设备;
 通过SSL VPN设备将总部的业务系统统一安全发布至VPN资源列表;
 在企业微信管理后台创建微应用;
 在企业微信管理后台配置VPN与内网业务系统的映射;
 员工在企业微信中打开发布的企业微应用;
 第一次打开微应用,引导员工下载MiniConnect APP;
 员工打开微应用后,企业微信自动调起MiniConnect进行认证,MiniConnect传递认证信息到企业微信服务器进行认证;
 通过认证后,VPN通道建立,员工可以正常通过微应用使用内网业务系统。
方案优势
 方案部署简单易维护
广州铭冠信息深信服SSL VPN与企业微信结合的移动办公解决方案,企业微信中已经默认集成深信服VPN SDK,企业只需要在不影响网络环境的情况下单臂部署SSL VPN设备,就既能达到对企业微信中发布的内部业务系统的隐藏保护。在满足了用户更灵活,更安全的网络安全建设的同时,也满足了用户简化的运维需求。 
 端到端的安全接入 
信服SSL VPN支持多种加密算法,如 AES、DES、3DES、RSA、RC4、签名算法等多种国际主流加密算法对数据进行强加密,保证数据传输的高安全性。同时深信服SSL VPN设计了丰富的权限控制策略及细致的访问审计,从多个维度全面的保护数据端到端的安全。
 国产商用密码算法
数据加密是信息安全体系中重要的安全保障环节,随着科技的不断发展,常用的商业密码算法(如DES,RSA,MD5等)已确认可被破解。密码技术存在短板,安全设备就形同虚设,只有采用相对安全的密码算法,才实现真正的网络安全。因此,国家密码管理局出台了新的密码算法(SM1,SM2,SM3,SM4)并要求相关单位选用国产商用密码标准。深信服SSL VPN支持常见的国际通用商用密码算法,同时也支持国密局规定的国产商用密码标准,全面保障用户的业务安全。
 应用服务器保护
将广州铭冠信息深信服VPN平台以单臂方式部署,通过配置使数据流经由VPN平台后走向内网服务器区,对办公网与服务器区这两部不同安全级别的区域进行隔离。由于VPN平台对外只开放443端口,从而可屏蔽掉其他端口的攻击。VPN平台的数据流处理方式可隐藏内网服务器区结构,并对服务器访问的IP、域名进行伪装。VPN平台在进行用户对服务器区发起的访问时,采用SSL VPN登录认证、细粒度应用访问授权、传输数据加密,从数据安全的角度提供隔离保护。

图 移动应用服务器隐藏

价值收益
 安全保障
深信服企业微信微应用加固方案在企业发布业务系统到企业微信时,提供关键业务安全接入保护,通过SSL VPN加密通道保障企业机密数据在互联网上的安全传输,防止传输过程中被监听窃密;完整的通道加密,防止流量劫持、广告注入;同时对外因此业务系统信息,避免业务系统被嗅探攻击。
 体验保障
通过与企业微信的认证结合,在保障企业内网业务系统安全性的同时,不牺牲用户使用体验,用户在企业微信工作台通过微应用访问企业内部业务系统时,自动调起VPN并进行认证,无需用户任何干预,最终通过SSL VPN实现重要业务系统在互联网上的安全发布和接入。

公司介绍
 SSL VPN第一品牌,行业标准引领者
 中国国家SSL/IPSEC VPN技术标准核心制定者;
 推出全球第一款IPSEC/SSL二合一VPN(2005年);
 国内唯一一家入选Gartner SSL VPN魔力象限厂商;
 申请SSL VPN专利技术30余项;
 率先在SSL VPN领域开发了远程应用发布技术;
 融合移动安全技术,打造统一安全接入平台。
 连续十年市场占有率第一,市场份额远超过第二第三名
 国际权威分析机构IDC公司自2008 年开始,对深信服SSL VPN 产品进行跟踪调研,研究表明深信服市场份额连续10年蝉联第一;
 在2016年深信服SSL VPN 的市场占有率达到31.5%;

 技术创新,自主研发多项技术,贴合用户实际需求
 最安全:端到端的安全防护体系,业内领先加密技术,多种认证方式、主从绑定等特色功能,保证用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全;
 最快速:多线路智能选路、单边加速等多项专利技术,从链路、传输、数据、引用,层层优化,访问速度最高可提升80%,给每个接入用户不同以往的畅快体验;
 最好用:化繁为简的部署及使用,管理简单,使用方便;支持非对称集群,实现高性价比弹性扩容;
 集采入围
 中央政府采购清单/国税总局协议采购/招商银行集中采购
 案例最多,众多高端客户一致选择
 用户数量超过21000 家,囊括政府、金融、运营商、能源、教育、企业等各行业用户;
 拥有业内最多的高端客户,包括国务院国资委、海关总署、环保部、公安部、最高检、最高法、中国移动、中国人民银行、银监会、伊利集团、海尔集团、三一重工等;
 中国500 强企业中,有85% 的企业选择了深信服SSL VPN 产品;