2020年的春節讓一場突如其來的疫情,打亂了企業節後正常複工的節奏,目前各企業會陸續在2月10日上班,在此境況下,如何在防範疫情的同時,并保障企業順利開工成為面臨的頭等大事。現在有不少企業,特别是一些網際網路公司,開始嘗試一種新政策:遠端辦公。
我們公司已經在2月3号開工了,不過都是遠端辦公模式,今天我結合我們的辦公模式,給大家分享下如何高效、安全的實作遠端辦公,各個相關行業可以參考選擇。
遠端辦公範疇包含遠端溝通、遠端運維、遠端開發、遠端通路内網應用等不同業務場景。下面分别介紹。
目前與很多可用的遠端溝通工具,例如釘釘、企業微信、飛書等。在疫情期間,各平台也在這個風口争相開放免費使用,這也為我們遠端溝通提供了友善,
釘釘在2020年1月26日-3月31日,免費開放302人不限時視訊會議。參會人員可以随時随地一起開會,支援手機、Pad、電腦和會議室裝置同時接入。釘釘" 在家辦公 " 主要功能包括遠端視訊會議、群直播、DING 功能、日程共享、任務協同、線上文檔協同、遠端打卡功能。這些功能目前都能免費使用。
而企業微信在疫情期間,将視訊會議人數提升到300人,支援企業随時随地發起百人音、視訊會議。
還有一個位元組跳動的飛書,飛書近期推出的“飛書線上辦公室”功能。提供了預設語音溝通,每個辦公室支援最多50人同時線上,使用者可以便捷發起或加入,無需事先确認時間和參會人。類似真實辦公場景,最重要的,在2020年1月28日—5月1日期間,所有使用者可免費使用飛書提供的不限時長音視訊會議、不限容量線上文檔與表格、審批管理等功能。
遠端辦公模式必須将内網的通路權限,開放到網際網路。通路通道開放後,也随之增加了遠端安全運維的風險,可能存在權限控制不足、通路連結不安全、無審計不合規等風險。此時,建立安全的傳輸通道和運維通道非常關鍵,建議使用“SSL v p n+堡壘機”相結合方案,保障遠端接入和遠端運維安全性。
實作通路公司内網資料,第一步就需要運維人員開啟遠端通路内網資源的通道,大部分公司的首選是v p n隧道或者堡壘機,如果你的公司沒有v p n隧道機制,建議搭建一套v p n系統,首推開源免費的Openv p n來實作,建構Openv p n非常簡單,搭建可自行搜尋文檔來部署,如果公司不允許使用v p n,也可以通過建構堡壘機來做内網資料和外網的安全隔離,堡壘機可選擇餘地有很多,目前市場上有大量便宜、靠譜的商業堡壘機可用,也可以選擇開源免費的堡壘機系統,這裡首推Jumpserver開源堡壘機,開源免費,功能強大,建構也很友善。
作為運維人員,要連接配接伺服器,除了打開v p n隧道後,還要有連接配接伺服器工具,常見的有xshell、SecureCRT、Putty、VNC、Remote Desktop manager等。
xshell、Putty是開源的,推薦連接配接Linux伺服器使用,SecureCRT是收費産品,如果可以接受付費,那麼推薦SecureCRT,功能強大,SecureCRT自身支援端口映射功能、防火牆功能、公私鑰認證機制。
如果要連接配接遠端桌面,linux推薦VNC,windows推薦Remote Desktop manager,完全可滿足桌面連接配接需求。
實作遠端辦公後,開發人員在連接配接公司代碼庫,送出代碼時,建議使用v p n隧道技術連接配接到代碼庫,一定不要讓内網代碼庫通過NAT映射技術直接映射到公網,這是非常不安全的方法。
如果你們機關沒有v p n隧道連接配接,也可以通過TeamViewer、花生殼、向日葵等,不過這些軟體都是用戶端形式的,安全性并不高,跟這些軟體類似的還有一些開源軟體,例如frp, lanproxy, goproxy, nps幾款内 網穿 透工具,這些工具各具特點,最主要的是可以自行搭建,安全性相對高些。
附上github位址供大家下載下傳:
lanproxy:https://github.com/ffay/lanproxy
goproxy:https://github.com/snail007/goproxy
nps:https://github.com/cnlh/nps
frp:https://github.com/fatedier/frp
這裡推薦lanproxy,通過自建lanproxy服務,來建構内網穿透服務,下面簡單說明下lanproxy的搭建過程。
1、lanproxy服務端配置
直接下載下傳釋出包https://seafile.cdjxt.net/d/2e81550ebdbd416c933f/
server端的配置檔案放置在conf目錄中,配置config.properties,内容如下:
代理配置,打開位址 http://ip:8090 ,使用上面配置中配置的使用者名密碼登入,進入如下代理配置界面
一個server可以支援多個用戶端連接配接 配置資料存放在 ~/.lanproxy/config.json 檔案中
2、lanproxy的Java用戶端配置
Java client的配置檔案放置在conf目錄中,配置config.properties内容如下:
用戶端需要安裝java1.7或以上環境,用戶端配置完成後,linux(mac)環境中運作bin目錄下的startup.sh即可。windows環境中運作bin目錄下的startup.bat即可。
整體來說,配置還是比較簡單的。
四、資料安全
資料安全是遠端辦公最大的風險,前面的幾個措施可以在一定程度上解決部分資料安全需求,但是對于資料敏感性非常高的企事業機關來說還不夠。如果機關有條件,可以通過“雲桌面”的方式遠端辦公,保障企業敏感資料不落地存儲,防止資料洩露,當資料被導出時可追蹤審計。同時,可考慮通過部署雲資料庫審計、雲監測和雲防護SaaS服務,控制安全接入,防止高危操作、越權行為,對遠端辦公資料進行實時加密與安全監控,并建立基于操作錄像、流量、日志、資料庫語句等的審計措施。
五、遠端辦公常用的工具資源彙總
以下推薦産品中的國外免費軟體并非适用于每個公司和團隊,大家可能需要仔細分析每個産品的優缺點,根據自身需求、業務規模、偏好和預算來做出最佳選擇。:
遠端辦公文檔協作産品:
遠端團隊溝通協作産品:
替代TeamViewer的免費遠端桌面産品:
任務管理/項目管理/研發管理類:
遠端辦公為疫情過渡期提供了替代性解決方案,選擇好的遠端辦公軟體,可以實作更高效的在家辦公,随着遠端辦公應用規模的提升,資訊安全問題也将日益突出,如何實作遠端辦公、安全辦公、保護企業資料安全,是一個技術人員目前最關鍵的責任和義務。