去年有一家做跨境电商物流的公司在印尼雅加达的办公室发生了网络入侵事件。攻击者通过办公室一个员工的电脑渗入网络,然后横向扩散到整个公司的业务系统,导致东南亚地区的订单管理系统瘫痪了整整两天。事后调查发现,这家公司印尼办公室的网络架构跟国内总部的网络是通过一条VPN连接在一起的,办公室内部所有设备在一个网段中,没有任何隔离。保洁工的平板电脑跟财务系统服务器在同一个网络里,这种设计不出事才是奇迹。
海外办公室的网络架构设计,核心原则是网络隔离和最小访问权限。网络隔离的意思是,把不同安全级别的设备和业务系统放在不同的网络段里,段与段之间的访问需要经过防火墙的严格控制。具体可以分为几个安全域:公共域是访客Wi-Fi和公共展示设备用的网络,只能访问互联网基本服务,不能访问任何内部资源;办公域是员工日常工作使用的网络,可以访问公司内部的应用系统但访问范围受到权限限制;管理域是管理员和核心服务器所在的网络,访问此域需要额外的身份验证和审计记录。
访客Wi-Fi和办公网络的分离是最基础也是关键的隔离措施。很多海外办公室为了图方便,把所有设备都接在同一个交换机上,访客Wi-Fi也从同一个路由器出来。这样做的好处是网络配置简单,但坏处是致命的:任何接入访客Wi-Fi的人,理论上都有可能尝试攻击同网络内的办公设备。正确做法是使用支持VLAN的交换机,把访客Wi-Fi、办公网络和核心服务器分别划分到不同的VLAN,并通过防火墙制定严格的跨VLAN访问规则。
海外办公室到国内总部的网络连接也是一个需要特别注意的环节。不要直接使用简单的点对点VPN把海外的局域网络和国内的局域网络直接打通。打通之后的网络意味着海外办公室内的任何一个设备只要被攻破,攻方就有了通向国内总部的通道。更安全的做法是使用分段的VPN架构,海外办公室的员工通过VPN访问国内总部的应用系统时,采用应用级代理的方式,而不是全网络打通。也就是说,每个用户的每一次访问都是独立的加密连接,而不是一条敞开的大路。
远程桌面的安全配置容易被人忽略。很多海外办公室的管理人员为了方便维护服务器,开启了远程桌面服务并将端口暴露在公网上。这种做法等于把服务器的大门钥匙挂在门外。最稳妥的方式是使用跳板机加多因素认证。所有远程运维操作必须通过跳板机进行,跳板机本身开启了操作审计,每一个命令都会被记录下来。远程桌面端口绝对不能暴露在公网上,应该只对跳板机开启或者通过VPN连接后的内网地址访问。
海外办公室的网络设备本身也需要安全管理。路由器、交换机、无线控制器和防火墙等网络设备,出厂时的默认密码必须全部修改,固件要定期更新。很多办公室的网络设备装好之后就没人管了,默认密码一直用着,安全补丁也不打。这种设备在网络安全专家眼里就是敞开的门。还有一点是禁用不必要的网络服务,比如SNMP协议如果不需要使用就应该关闭,Telnet协议因为传输未加密应该换成更安全的SSH替代。
对境外办公室的网络安全来说,定期做渗透测试比买再多的安全设备都有用。渗透测试可以模拟真实的攻击者视角,发现网络架构中的漏洞和配置缺陷。我们建议海外办公室每半年做一次渗透测试,如果网络结构发生了重大变动,也要立即做一次复查。测试结果会形成一份整改清单,按风险等级排序,优先处理高风险问题。
无线网络还有一个容易被忽视的地方:信号泄露。办公室的Wi-Fi信号如果覆盖到了办公室外面的公共区域或者隔壁公司,外部人员就可能通过接收信号来尝试攻击。可以通过调整AP的发射功率和天线方向来控制Wi-Fi信号的覆盖范围,让信号刚好覆盖办公区域但不延伸到不必要的地方。
海外办公室的网络隔离不是一次性工程,而是需要持续维护和定期审计的系统工程。网络拓扑图的更新、设备配置的备份、访问日志的审查、员工网络使用行为的监控,每一项工作都不能停。失去对网络的可见性,就等于失去了对信息安全的控制力。
