Di chuyển dữ liệu và các tài nguyên khác của công ty lên đám mây có ý nghĩa rất lớn, đặc biệt là với nhiều người trong chúng ta hơn bao giờ hết cần sự linh hoạt trong cách thức hoàn thành công việc.
Mặc dù các nhà cung cấp đám mây như AWS cho phép bạn linh hoạt để chuyển sang đám mây tạm thời hoặc dài hạn khi bạn cần, có một số cân nhắc thực tế bạn cần quản lý.
Ví dụ: bạn cần cung cấp cho người dùng các dịch vụ virtual desktop cần thiết cho công việc hàng ngày. Bạn cũng cần cung cấp quyền truy cập từ xa an toàn cho quản trị viên và nhà phát triển cho các ứng dụng riêng chạy trên máy ảo trên đám mây.
Truy cập từ xa đơn giản, an toàn với các kết nối VPN tường lửa Sophos XG rất quan trọng để cho phép làm việc từ xa an toàn. Sophos XG Firewall cung cấp hai tùy chọn để tạo quyền truy cập an toàn vào các dịch vụ được lưu trữ trong AWS:
Tùy chọn 1: SSL VPN
Nếu bạn có người dùng làm việc từ xa, cổng thông tin người dùng (User Portal) XG Firewall là một cách thuận tiện và an toàn để truy cập tài nguyên trong AWS. Từ đó, người dùng có thể tải xuống gói phần mềm SSL VPN client tùy chỉnh, bao gồm SSL VPN client, chứng chỉ SSL và cấu hình.
Trước tiên, bạn cần triển khai tường lửa XG trong tổ chức của mình Virtual Private Cloud (VPC). Trong ví dụ bên dưới, XG được triển khai trong Availability Zone, với một Elastic Network Interface (ENI) trong mỗi hai mạng con, mạng con Public và mạng con Private.
Mạng con công cộng ENI có một địa chỉ IP đàn hồi được ánh xạ có thể được sử dụng trực tiếp hoặc trong bản ghi DNS.
Một thay thế cho cổng thông tin người dùng tường lửa XG là cài đặt ứng dụng SSL VPN Client (hoặc SophosConnect) trên các hệ thống người dùng.
Để hoàn tất thiết lập này trong bảng điều khiển AWS của bạn:
- Xác nhận các bảng tuyến AWS của bạn có tuyến cho Internet thông qua giao diện riêng XG, (ENI) mà các mạng con nội bộ sử dụng và bảng mạng con công cộng có tuyến Internet qua Internet Gateway, để XG sử dụng.
- Xác nhận (các) nhóm bảo mật XG của bạn cho phép sử dụng cổng SSLVPN (có thể không phải là 443)
- Xác nhận (các) nhóm bảo mật khác của bạn cho phép lưu lượng truy cập nội bộ cho các kết nối SSLVPN
Tùy chọn 2: Remote Ethernet Device (RED)
Nếu bạn muốn độ tin cậy và bảo mật VPN cao nhất giữa các nhân viên từ xa và môi trường đám mây, lựa chọn tốt nhất đối với Sophos là Remote Ethernet Device(RED).
Mặc dù có lẽ không phải mọi nhân viên trong một doanh nghiệp đều có thể yêu cầu RED, nhưng nó có thể là một lựa chọn phù hợp cho các nhà quản lý cấp cao và những người xử lý thông tin bí mật. Sử dụng RED rất đơn giản:
- Nhóm IT cấu hình trước và đăng ký RED với tường lửa XG, sau đó gửi thư cho người nhận.
- Người nhận cắm thiết bị vào bộ định tuyến gia đình của họ.
- Người nhận thiết lập kết nối không dây hoặc có dây giữa máy tính xách tay của họ và thiết bị RED.
Sau khi được kết nối với bộ định tuyến, RED sẽ tự động kết nối lại với tường lửa XG (trong AWS) và thiết lập đường hầm RED an toàn.
