对于许多拥有线下门店的企业来说,如何方便门店访问又保障信息安全很头疼。如果把业务系统放到公网上吧,明显不安全,如果要使用专线访问吧,成本高管理复杂。
这方面有没有最佳实践?可以分为几方面来看。
首先,业务系统应该放哪里?通常有两个选择,要么公有云,要么线下的数据中心。数据中心的好处是长期成本低,但是管理复杂度提升,网络和稳定性和云有差距。
公有云的好处是不需要硬件的管理,网络质量比较好。
如果门店数量很多,并且全国分布,建议选择公有云。如果门店集中在一个地区,数量不多,可以考虑部署在数据中心,但是电力、网络、硬件冗余性要充分考虑。
第二,通过公网访问还是内网访问?答案是尽量通过内网访问。只要应用系统放到公网,就有被攻破的可能。除非万不得已,尽量不要放公网访问。内网访问成本最低的方案就是IPsec VPN,公有云通过VPN网关也支持IPsec VPN,IPsec VPN 方案可以支持几十家门店的规模。
如果门店比较多达到几百家几千家的规模,可以考虑SDWAN方案,SDWAN可以提高维护的便利性,也更稳定可靠。当然使用专线也可以,更稳定成本也更高。
对于许多企业来说,门店上千家,SDWAN或者专线的方式成本很高,考虑到投入产出,还是使用公网方案了。这时候只能加固应用程序侧,强烈建议应用程序侧要层层防御,比如WAF、防火墙、主机安全、SIEM平台能上的尽量上。并且要做定期的渗透测试和漏洞扫描,数据一定要加密存储。
最后总结下:
应用侧尽量放云端,并且层层防御
门店访问尽量通过内网,如果门店建设IT标准化了,可以很好的控制管理复杂度
