除了 VPN,还有什么安全方式在外网访问公司资源?

2023-12-27 10:47:25 +08:00
cndenis  cndenis

公司内有个内容管理平台,有些编辑同事想在公司外使用,目前的方式是先连 OpenVPN 。

但是多数的编辑同事都不是技术,使用 OpenVPN 对于他们来说有点麻烦,有什么办法可以提供类似于 OpenVPN 的安全性但又更简单使用方法吗?

内容管理平台本身有登录,也已经放在 WAF 后面了,期望的效果是类似于 VPN 一样,未连 VPN 的用户连内容管理平台登录页都发现不了。

17483 次点击
所在节点   信息安全  信息安全
104 条回复
c5QzzesMys8FudxI
c5QzzesMys8FudxI
2023-12-27 11:26:09 +08:00
ss
Masoud2023
Masoud2023
2023-12-27 11:27:00 +08:00
wireguard 配置好路由,发给同事,点一下就能连上,很难操作吗?


这都不会用建议解决不会用的人。
tomatocici2333
tomatocici2333
2023-12-27 11:27:20 +08:00
既然只是访问资源,搞个堡垒机吧。jumpserver
arischow
arischow
2023-12-27 11:28:05 +08:00
OpenVPN 算简单了,IT 想想怎么把它配置自动化和适合业务,再加上(原本应该有的) SSO 这样的鉴权
sampeng
sampeng
2023-12-27 11:29:17 +08:00
@cndenis 这个我也能理解你的痛点,唯一办法,升级,让上一级的人要求。安全应该是红线
jurassic2long
jurassic2long
2023-12-27 11:33:07 +08:00
连 VPN 都觉得麻烦的话,就只能直接暴露在公网了,该做安全措施做好就行
limiter
limiter
2023-12-27 11:34:14 +08:00
开放到外网
JamesR
JamesR
2023-12-27 11:41:24 +08:00
部署 FRP ,用 STCP 模式,STCP 是安全的 TCP 内网代理,不需要在服务端暴露端口。用户访问时候是用 localhost:XXXX 这种地址访问的。
loginv2
loginv2
2023-12-27 11:44:48 +08:00
无解,只要客户端系统不安全,那怎么都不安全,再不济可以录屏和保留新文件来盗取信息。还是要限定死设备,专人专用
D33109
D33109
2023-12-27 11:46:04 +08:00
Netbird 自建
lifekevin
lifekevin
2023-12-27 11:59:13 +08:00
简单的就是 vpn ,再折腾也就只是换一种 vpn 工具而已
或者去了解一下腾讯 IOA 这种零信任方案
Dawnnnnnn
Dawnnnnnn
2023-12-27 12:12:31 +08:00
@cndenis 你应该想想你做的系统的目的到底是什么?是为了安全还是为了提高效率?如果是为了安全,它必须是一个行政命令才能推的动。如果是为了提高效率,你想在保证安全的情况下实现这个目标,应该对平台本身的安全性下功夫并且寻求安全部门的建议,根据他们的建议去做安全性的改进
coolcoffee
coolcoffee
2023-12-27 12:15:07 +08:00
你如果想要简单,就自己打包一个 openvpn 客户端,里面绑定上通过企业微信、飞书这类登录认证来自动获取 openvpn 的配置信息。

所以就看你们想要麻烦开发还是麻烦用户,没有两全其美的事情。
CheckMySoul
CheckMySoul
2023-12-27 12:19:41 +08:00
用商业版的 SSLVPN 或者云桌面之类的,只需要打开网页,下载安装插件登录账号密码动态码即可。更方便就是不要安全远程桌面直连。
ysc3839
ysc3839
2023-12-27 12:21:06 +08:00
OpenVPN 直接用一个配置文件就能连呀,难不成是连打开文件都不懂的人?
Puteulanus
Puteulanus
2023-12-27 12:26:15 +08:00
敲门加暴露端口的方式感觉可以,比如你们敲门单独用一个 web 页面,登陆之后把他的 IP 加到白名单半个小时
对他们来说就是两步,第一步在敲门的页面登陆自己的账号,第二步打开内容管理平台的网页
mantouboji
mantouboji
2023-12-27 12:37:39 +08:00
如果你们公司没有什么特别的知识产权保护意识,没有什么商业机密保护的需求,通过 VPN 访问内部是可以的,至于具体用哪种 VPN 协议倒是可以讨论。一般用户肯定希望那种仅需要输入一个密码没有其他乱七八糟的方案。这种情况下不妨去调研一下 cisco 等品牌厂商的产品,不要用 OpenVPN 和 wireguard 等,免得给自己添麻烦。
Tumblr
Tumblr
2023-12-27 12:40:29 +08:00
Best practice: 迁移到 SaaS 平台,开启 MFA ,开放公网访问
简单版: 部署一套 VDI
winson030
winson030
2023-12-27 13:05:46 +08:00
@cndenis 如果已经有公司的 VPN ,那把管理平台暴露在 VPN 内网,然后配置一下内网的 dns 域名指向平台。
这样在内网下输入域名就能用了
noahhhh
2023-12-27 13:08:15 +08:00
@coolcoffee 配个手机微信扫码过认证,现在大部分人都更习惯这样

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1003747

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX