VPN pakeitimas paskirstytoms komandoms

Pakeiskite VPN saugia naršyklės prieiga

Nustokite valdyti VPN klientus, split-tunnel taisykles ir ryšio nutrūkimo bilietėlius. MyWorkspace suteikia kiekvienam naudotojui naršyklės prieigą prie priskirtos darbo vietos — be tunelio, be kliento programos, be tinklo lygio ekspozicijos.

Problema

Kodėl VPN neveikia dideliu mastu

VPN buvo sukurti privačiam tinklui išplėsti iki nuotolinio įrenginio. Šis modelis kuria operacinę apkrovą ir saugumo rizikas, kai taikomas darbo vietų prieigai paskirstytose komandose.

  • Ryšio nutrūkimai ir prisijungimo iš naujo trukdžiai

    VPN klientai nutraukia ryšį keičiant tinklą, grįžtant iš miego režimo ar pasibaigus neveiklumo laikui. Naudotojai praranda sesijos būseną ir failų perkėlimus. IT skyrius gauna bilietėlius.

  • Split-tunnel rizikos ir pilna tinklo ekspozicija

    Prie VPN prijungtas įrenginys turi maršrutą į įmonės LAN. Pažeisti galiniai taškai, kenkėjiška programinė įranga ar neteisingai sukonfigūruotos split-tunnel politikos gali atverti vidines paslaugas, kurios nebuvo skirtos pasiekti iš asmeninių įrenginių.

  • Kliento diegimo ir atnaujinimo apkrova

    Kiekvienai operacinei sistemai reikia savo VPN kliento — supakuoto, įdiegto, sukonfigūruoto ir atnaujinto. BYOD įrenginiai priešinasi MDM registracijai. macOS ir Linux klientai atsilieka nuo Windows versijų.

  • Pralaidumo grūstys ties koncentratoriumi

    Visas srautas per VPN koncentratorių varžosi dėl tos pačios pralaidumo juostos. Vaizdo skambučiai, failų sinchronizacija ir nuotolinio darbalaukio sesijos dalijasi vienu kanalu. Apkrovos pikuose našumas krenta visiems.

Kaip MyWorkspace tai sprendžia

Darbo vietų prieiga be VPN tunelio

MyWorkspace pakeičia VPN modelį tiesiogine naršyklės prieiga prie priskirtų darbo vietų. Naudotojai autentifikuojasi, pereina politikų patikras ir prisijungia — per privataus maršrutizavimo infrastruktūrą, o ne tinklo tunelį.

  1. 1

    Tiesioginė naršyklės prieiga

    Naudotojai atidaro URL ir autentifikuojasi. Sesija prisijungia prie priskirtos darbo vietos per MyWorkspace maršrutizavimo sluoksnį — be VPN tunelio, be prisijungimo prie LAN, be kliento diegimo. Naršyklė yra prieigos kanalas.

  2. 2

    Privati maršrutizavimo infrastruktūra

    Sesijos maršrutizuojamos per šifruotą privačią infrastruktūrą. Tarp naudotojo naršyklės ir tikslinės mašinos nėra tiesioginio tinklo kelio. Maršrutizavimas vykdomas kiekvienai sesijai, kiekvienam naudotojui ir vertinamas politikomis.

  3. 3

    Jokios tinklo lygio ekspozicijos

    Naudotojai jungiasi prie savo darbalaukio, ne prie tinklo. Nėra LAN matomumo, šoninio judėjimo galimybės ar bendro tinklo segmento su kitomis įmonės paslaugomis. Atakos paviršius — darbo vietos sesija, o ne visas tinklas.

Techniniai pranašumai

Architektūriniai skirtumai nuo VPN

MyWorkspace nėra VPN su naršyklės sąsaja. Prieigos modelis iš esmės skiriasi — programos lygio izoliacija vietoj tinklo lygio tunelizavimo.

Jokios kliento programinės įrangos

Nereikia jokių vietinių komponentų diegti, konfigūruoti ar prižiūrėti. Jokių OS lygio tvarkyklių, branduolio plėtinių ar pranešimų srities programų. Naršyklė tvarko atvaizdavimą, įvestį ir ekraną — niekas kitas neliečia įrenginio.

Maršrutizavimas kiekvienai sesijai

Kiekviena darbo vietos sesija gauna savo maršrutą per privačią infrastruktūrą. Sesijos nėra multipleksuojamos per bendrą tunelį. Vieno naudotojo ryšys neturi įtakos kito ryšiui.

Sumažintas atakos paviršius

VPN atveria tinklą. MyWorkspace atveria tik vieną darbo vietą. Iš naršyklės sesijos neįmanoma skenuoti LAN, aptikti paslaugų ar judėti šoniškai. Pažeidimas ribojamas sesijos apimtimi.

Jokios tinklo lygio ekspozicijos

Naudotojo įrenginys niekada negauna IP adreso įmonės tinkle. DNS, DHCP ir transliavimo srautas iš LAN yra nematomas galiniam taškui. Sesija yra vaizdo kanalas, o ne tinklo jungtis.

Greitesnis prisijungimas

VPN ryšiams reikia tunelio derybų, sertifikatų mainų, IP priskyrimo ir maršrutų lentelės atnaujinimų. Naršyklės sesijos atsidaro per sekundes: TLS rankos paspaudimas, WebSocket — ir darbo vieta jau atvaizduojama.

Pralaidumo nepriklausomybė

Sesijos perduoda vaizdo kadrus, o ne neapdorotą tinklo srautą. Nėra koncentratoriaus grūsties. Vaizdo skambučiai, didelių failų operacijos ir interneto srautas lieka naudotojo įrenginyje ir nekeliauja per darbo vietos ryšį.

Saugumas ir patikimumas

Saugumo pozicija be VPN pasitikėjimo prielaidų

VPN pasitiki įrenginiu, kai tunelis sukurtas. MyWorkspace vertina pasitikėjimą nuolat — kiekvienai sesijai, politikai ir naudotojui — ir niekada nesuteikia tinklo lygio prieigos.

  • Zero Trust sesijos modelis — jokio numanomo pasitikėjimo po autentifikacijos; politika iš naujo vertinama visos sesijos metu
  • Jokios pilnos tinklo prieigos — naudotojai jungiasi tik prie priskirtų darbo vietų, o ne prie įmonės LAN
  • Programos lygio izoliacija — kiekviena sesija yra nepriklausomas ryšys su konkrečia darbo vieta; nėra tarpsesinės matomumo
  • Šifruotas sesijos transportas — TLS 1.2+ be versijos mažinimo derybų; vaizdo duomenys ir įvesties įvykiai šifruojami ištisai
  • Tapatybe grįsta prieigos kontrolė — SSO, SAML, OpenID Connect ir integruotas 2FA prieš bet kurią darbo vietos sesiją
  • Audito žurnalas kiekvienai sesijai — autentifikacijos įvykiai, sesijos trukmė, šaltinio IP ir administraciniai veiksmai registruojami atitikties peržiūrai

Naudojimo atvejai

Kas keičia VPN į MyWorkspace

Komandos, pavargusios nuo VPN palaikymo bilietėlių

Ryšio nutrūkimai, kliento atnaujinimo klaidos, split-tunnel konfliktai ir pakartotinio prisijungimo problemos kuria nuolatinę palaikymo apkrovą. Naršyklės prieiga pašalina visą VPN kliento palaikymo kategoriją.

Įmonės su BYOD politikomis

VPN asmeniniuose įrenginiuose reikalauja MDM registracijos arba priima nevaldomas galiniams taškams į įmonės tinklą. MyWorkspace suteikia BYOD naudotojams prieigą prie darbo vietos be įrenginio lygio valdymo ar tinklo lygio rizikos.

Daugiavietės operacijos

Organizacijos su biurais, sandėliais ir lauko objektais palaiko atskiras VPN konfigūracijas kiekvienai vietai. MyWorkspace suteikia vieną portalą su vietos nepriklausoma prieiga — be vietai specifinių koncentratorių.

Saugumui imlios organizacijos

Atitikties karkasai vis dažniau nurodo pilną VPN tinklo prieigą kaip riziką. MyWorkspace darbo vietos lygio izoliacija, tapatybe patikrintos sesijos ir audito žurnalai atitinka Zero Trust architektūros reikalavimus.

Įsigijimai ir spartus komandos augimas

Įsigytų komandų integravimas į VPN diegimą užtrunka savaites infrastruktūros darbų. MyWorkspace prijungia naudotojus per minutes — sukurkite paskyrą, priskirkite darbo vietą, pasidalinkite portalo URL.

DUK

DUK apie VPN pakeitimą

VPN sukuria tinklo tunelį tarp jūsų įrenginio ir įmonės tinklo — atidarydamas visą LAN galiniam taškui. MyWorkspace suteikia programos lygio prieigą tik prie priskirtų darbo vietų. Naudotojai niekada neprisijungia prie įmonės tinklo. Nėra tunelio, LAN ekspozicijos ar split-tunnel politikos konfigūruoti.

Ne. MyWorkspace sesijos veikia visiškai naršyklėje. Nėra VPN kliento, agento, naršyklės plėtinio ar OS lygio tvarkyklės. Naudotojai atidaro URL, autentifikuojasi, ir jų darbo vieta paruošta.

MyWorkspace veikia greta esamų VPN diegimų. Komandos paprastai pradeda bandomąjį projektą su vienu padaliniu, tada plečiasi, kai nuo VPN priklausomi darbo procesai migruoja. Nereikalaujama išmontuoti VPN infrastruktūros pirmą dieną.

Darbo vietų prieigai — saugesnė. VPN suteikia tinklo lygio prieigą — prisijungus, pažeistas įrenginys gali pasiekti bet ką LAN tinkle. MyWorkspace užtikrina darbo vietos lygio izoliaciją: naudotojai pasiekia tik priskirtus darbalaukius per šifruotas sesijas po tapatybės patikros ir politikų vertinimo.

Taip. Maršrutizavimo infrastruktūra sukurta įmonės lygio lygiagretiškumui. Kiekviena sesija maršrutizuojama ir izoliuojama nepriklausomai. Nėra bendro VPN koncentratoriaus grūsties — sesijos horizontaliai plečiamos per maršrutizavimo sluoksnį.

Palikite VPN sudėtingumą praeityje

Paleiskite bandomąjį projektą su viena komanda. Palikite VPN veikti visam kitam — migruokite savo tempu, kai naršyklės prieiga pasiteisins.