当前位置:网站首页>老板被隔离了

老板被隔离了

2022-07-06 18:36:00 码农翻身

1

远程办公

作为一家中小型公司的IT部门运维负责人,张大胖最近压力巨大。

在疫情之下,公司已经有几个人作为密接被隔离了,其他员工要求居家远程办公的呼声越来越高。

张大胖也想居家远程办公,又安全又自由,但是公司的客户管理系统,OA系统都是部署在公司自己机房内,是一个内部的局域网,在家里怎么能访问呢?

不能访问,怎么远程办公呢?

很明显,最简单的办法就是搭建一套VPN系统,每个人分配一个账号,这样就解决问题了。但是VPN配置复杂又价格昂贵,对于这个小公司来说并不适合。

张大胖百无聊赖地在网上搜索,无意之间发现了一个叫做“蒲公英易连”的办公平台,无需专网、无需公网IP,无需改变现有网络结构,就可以轻松地组建一个虚拟的局域网,让员工在家里访问公司的IT系统。

这个“蒲公英”的工作方式是这样的:

第一步,运维人员(也就是自己)在蒲公英管理平台创建一个“虚拟网络”。

第二步,在虚拟网络中给每个员工创建成员账号,每个成员会分配一个ID、密码和虚拟IP地址。

9f16359d90f921f3fd2d9ca0ce0012d8.png

(点击看大图)

第三步,每个员工下载安装蒲公英客户端。(当然,公司的服务器上也需要安装上)

除了支持Windows之外,蒲公英客户端还支持市面上几乎所有其他主流操作系统:

4884252d8ada5d742d09a8e05c7c62f4.png

然后,员工就可以用之前创建好的账号和密码登录了。

f2b681e0c2915af487a1889b6520694d.png

现在每个机器都有了一个虚拟的IP,员工不但可以它来访问公司服务器中的OA和CRM系统,员工之间的机器也可以互通互联。

张大胖真没有想到,组建一个虚拟的局域网居然这么简单!

他兴冲冲地去找老板汇报这个喜讯,期待老板一声令下,大家都可以回家远程办公。

老板听完汇报,不置可否,只是淡淡地问了一句:安全性如何?如果员工的账户泄露了,我们的OA和CRM系统岂不相当于在网上裸奔?

张大胖头一下子蒙了,自己太冲动了,还没有考虑完善就来找老板汇报,犯了大忌啊。

张大胖连连道歉:我考虑不周,再回去研究一下,回头出个报告出来。

2

安全访问

回到座位,张大胖仔细思考了一番:老板是不是要求太高了?!

现在即使是VPN系统,账号泄露了,内网的系统岂不也是暴露了?也是裸奔了?也是同样的问题嘛!

如果做个类比,VPN网关像一个门卫,合法用户通过了门卫的检查,进入小区,只会去他想去的1号楼。

但是对于盗用了别人身份的黑客来说,他一旦进入小区,就不止去1号楼,肯定还会去1,2,3...号楼逛逛,看看有没有值钱的东西,把它偷出来,或者埋伏一个后门啥的。

难道连一个通过账户密码登录系统的用户都不能信任了吗?这该怎么办?

张大胖呆住了。 

正在此时,去茶水间打水的CTO老何看到了发呆的张大胖,轻轻地拍了他的肩膀:大白天做什么白日梦呢?

张大胖把自己的经历和困惑给老何讲了一遍,老何哈哈大笑:“你这个问题也容易解决,用你的例子来比喻,我们首先在小区门口检查,但是即使一个人通过了门卫的检查,进入小区,他在做事情的时候,还要持续地受到检查,看看他的身份对不对,有没有权限,如果发现异常,就把他给踢出去。”

“就是说要用最小权限原则,实施精细化的权限控制?” 张大胖问道。

“孺子可教也!” 老何端着茶杯走了。

张大胖立刻去查看这个蒲公英易连的方案,发现它支持自定义设置各个成员之间的访问权限,从而实现精细化访问策略。

管理者可根据不同的岗位需求、工作时间段,针对性设置不同的网内资源访问权限。例如:普通员工仅能访问OA系统、财务能够访问对应的财务系统,研发访问git、SVN等,实现最小权限原则,高精细度的保护敏感数据的访问安全。

cf5b1da7231393b95c0ba405b842cc0d.png

(点击看大图)

这不就把问题给解决了吗?

3

深入调研

不过,这一次张大胖学乖了,一定要做个深入的调研,然后才能对老板汇报。

这一次张大胖在在创建网络时,选择了“自定义网络”:

4409f8cc57f9f227b03f1a6266eb8288.png

给员工分配账号,创建网络成员时,指定员工的角色:

682a9ccc36b76dde3e63323527adda2c.png

默认情况下,普通成员之间是无法互通的,仅能和中心成员(例如服务器)互通。

“蒲公英易连”还有非常强大的访问策略,进行精细化授权,例如可以指定某些用户只能访问某些机器,只能在某个时间端访问:

52a8998ac30713cee9fb9ddd4601c126.png

30ab6b9c62093000aed380ed87a3e82b.png

(点击看大图)

例如上图中何小痩的机器只能在周一到周五访问CRM服务器。

张大胖非常满意,有了精细化的授权,就解决了老板的要求。

除了事前的权限配置之外,“蒲公英易连”还支持事后的日志审计,谁什么时间点在什么地方登录了客户端,有没有做什么操作,都可以查看。所谓事前有感知,事后可追溯。

21f688d31cc5d24ae358db3acd613524.png

他继续尝试,又发现了几个非常好的功能,例如数据传输采用RSA/AES混合非对称加密算法,有点像Https的实现方案,非常安全。

还有就是设备终端验证,如果这个设备不是私人电脑这种受信任的终端,“蒲公英”将会对它进行持续验证,要求它提供动态验证码。

这就相当于小区内到处都是保安,会对小偷(非信任的终端)不停地盘查,发现异常,立刻告警。

更有用的是,它还支持第三方的数据接入,可以把企业微信、钉钉、飞书等IM的通讯录数据拿过来,实时同步,员工入职、离职、权限变更实时更新,极大提高对成员管理的便利性。

4

尾声

汇报之前,张大胖做了一个PPT,历数了“蒲公英易连”的几大优势:

1. 支持纯软件方案,不受硬件限制,不改变现有网络结构

2. 高效易用,使用门槛低,一键组网、一键连接

3. 低成本,高性价比,无需专线和公网IP

4. 最重要的,非常安全

这次张大胖信心满满,他正准备去汇报时,微信中老板突然疯狂地呼叫他:

张大胖,我被隔离了!远程办公的网络怎么还没弄好?!

张大胖又惊又喜,赶紧把PPT传过去:老板别急,“蒲公英易连”马上弄好,您一会儿就可以访问内网了!

94b53965b266cc97bd46cc9aaf7e0416.png

欢迎扫码咨询蒲公英易连

29974929d8350bc7a5c0d99169361335.png

原网站

版权声明
本文为[码农翻身]所创,转载请带上原文链接,感谢
https://blog.csdn.net/coderising/article/details/125631022