白皮书

淘汰 VPN 的 4 大优势

淘汰 VPN 的 4 大优势

执行摘要

正如您所知，企业边界不复存在。虚拟专用网络 (VPN) 的漏洞无处不在，过时的访问解决方案不仅麻烦、耗

时，而且还允许对企业网络和应用程序进行不受保护的访问。高管和 IT 从业人员早就认识到这一点，然而有效

的替代方案要么极其稀少，难以寻觅，要么价格高昂，令人望而生畏。庆幸的是，这一市场现已发生了改变。

随着越来越多的日常运营业务迁移到云端，企业内部应用程序也将随之迁移。为此，IT 部门必须跨不同环境和多个地域支

持、维护和复制大量硬件和软件，并且实践证明，交付对 IaaS、SaaS 和本地部署应用程序的访问权限是一项极其复杂的任

务。通过采用 Zero Trust 安全模型作为第一道防线，企业不仅可以显著降低风险，而且还可以最大限度地减少 IT 部门花费

的时间和成本。

基于云的访问解决方案利用广泛普及的互联网为所有用户提供了简单、更具可扩展性的应用程序级访问方式 — 而不管他们

使用何种设备或位于什么位置，同时它还简化了 IT 部门的配置过程。当今的企业现在有机会减少由 VPN 和全网访问权限

所造成的攻击面，并采用满足以下要求的解决方案：不仅提供详细的活动日志和报告，而且还将用户阻隔在实际网络之外。

在本白皮书中，您将了解淘汰 VPN 的四大优势，以及如何识别现代解决方案并将其应用于过时的远程访问过程 —

所有这一切最终会实现更高效、更有效的日常运营。

淘汰 VPN 简介

虽然“淘汰”一词通常具有负面含义，但对于 VPN 而言并非如此。过时的远程

访问技术由各种拼凑在一起的硬件和软件组成，在当今的威胁形势下，它们已不

再是一项明智的选择。想想看：VPN 在推出时，大多数人每天都在办公室里工

作。它设置了清晰明确的访问参数和 IT 边界。当然，只有很少的设备可供选择。

此外，在过去，攻击通常也没有那么复杂和频繁。

20 年前行之有效的方案如今已不再可信。通过权限升级实现的横向网络移动和可

信凭据导致越来越多的数据遭到泄露，就反复证明了这一点。随着世界各地移动

和远程办公人数的增多，让用户轻松、安全地访问那些仅用于开展工作的应用程

序比以往任何时候都更加重要。

这感觉像是一项令人畏惧的任务；整个企业系统或过程中的任何变革转型都是非常艰巨的。然而，一旦您对更简单、更节省

成本的解决方案的可用性和功能有了更清晰的了解，大多数组织都会纳闷 — 我们为何不尽早淘汰过时的 VPN 呢？

1

淘汰 VPN 的 4 大优势

VPN 的普遍低效性

我们可能不需要告诉您 VPN 在管理和性能方面有什么问题。这些抱怨通常是 IT 部门和用户的头等大事。支持成本昂贵，

并且需要连续的 IT 带宽。繁琐的硬件容易受到攻击，而且常常容易过时。此外，不友好的最终用户体验令人头疼不已并产

生受挫感，最终会降低整体生产率。

然而，这些概述只是众所周知的 VPN 问题冰山的一角。您可能不想承认的是 VPN 对企业安全构成了切实的威胁。就其本

质而言，VPN 在网络防火墙中开立通道，并通常提供无约束的网络访问。它们也缺乏智能；VPN 不能准确地确认那些试图

访问您网络的人员的身份，或者不能根据多重身份验证 (MFA) 提供持续的自适应放行/拦截机制。

此外，VPN 还垄断了高级 IT 资源。用户很少能够了解支持 VPN 所需的大量时间和过多的系统，这些时间和系统只是为了

提供连接，并帮助解决与日常登录、注销和一般审计相关的复杂性。

对于 IT 部门和用户来说，访问权限的配置、部署、使用和解除都应该是简单易行的。现代的先进企业可能深知 VPN 的弊

端和痛苦，但问题是：该怎么办？企业如何在考虑预算限制的同时实施专门定制的应用程序访问，从而确保企业安全并释放

宝贵的 IT 资产？

为何现在必须作出改变？

面对以下四项现实问题，淘汰 VPN 不仅仅是一个可行的选项，而且势在必行：工作人员移动性、多样化的数字生态系统、

云迁移以及威胁形势。

移动性

企业用户越来越分散。大多数组织现在授权其员工远程办公 — 用户每日从家庭、机场、会议室、火车、旅馆、

咖啡店甚至是穿梭于 30,000 英尺高空的飞机上连接到公司网络。员工 50%–60% 的时间都不在办公室。2 全球

的知识型人才中，远程工作者的占比高达 79%。3 自 2005 年以来，非个体经营并在家中办公的员工数量已经增

长了 140%，4 IDC 调研报告指出，这一趋势将继续蔓延。5 但无论处于何地，每位员工都需要安全、直接地访问

他们开展工作所需的企业应用程序。

2

在 IDC 最近开展的一项调查中，逾 50% 的 IT 从业人员表示他们仍使用超过 10 个网络和应用程序组件来向组织添加新的外部用户组。1

淘汰 VPN 的 4 大优势

数字生态系统

当今的劳动力构成越来越多样化。企业越来越依赖于合同工、合作伙伴、供应商、开发人员、客户、分销渠道和

其他第三方实体单位来支持他们的业务计划。据预测，如果目前的采用率保持不变，截至 2027 年，超过 50%

的美国劳动力（超过 8,600 万人）将是自由职业者。6

数字生态系统不仅多样化，而且还分散在全球范围内并快速发展。合

并和收购是当今企业界司空见惯的现象，2018 年这些活动将加速进

行，并且合并规模也将增加。7 此外，越来越多的成员通过越来越多的

设备 — 台式机、笔记本电脑、手机、平板电脑、“智能”互连设备

和 BYOD（自带设备）— 访问公司网络。访问技术必须紧跟这些需

求的步伐。

云转型

企业架构越来越复杂，并且应用程序也越来越分散（即本地部署应用

程序、IaaS 和 SaaS）。云应用的普及度也在迅速攀升。每个企业平均使用超过 1,427 种不同的云服务，每位

员工平均每天有效使用的云服务超过 36 种。8 使用传统系统的公司经常通过集中式安全堆栈在 WAN 上回传此

类云流量，然后通过直接连接或 VPN 重新路由回 IaaS 和互联网。但是，这种模式降低了应用程序性能和用户体

验，增加了企业安全风险，并且提高了成本，尤其是当企业跨地域和供应商来重复架设其堆栈时，更是如此。

安全

网络犯罪涉及的业务价值高达万亿美元。恶意攻击者非常有耐心且意

志坚定，攻击是定制的和有针对性的，并且威胁本身广泛存在。平均

而言，一次数据泄露会为企业招致 386 万美元的损失，而最严重的“

巨型漏洞”可能造成 4,000 万到 3.5 亿美元的高昂成本。9 更令人

吃惊的是，超过 40% 的数据泄露与授权用户有关。10 随着访问的位

置、类型和方法不断扩展，用户的分组和所有请求的认证势在必行。

单方面的网络级访问权限必须由逐项授权的应用程序级定制访问权限

取代。

VPN 及其庞杂的复杂性不能很好地适应当今的移动性、多样化和分布式业务的需求。灵活性和简易性不能以安

全为代价。基于云的访问解决方案可将智能融入决策中，并监测用户、设备和位置以及访问模式，这样大大提高

了安全性。

未来之路

现在已存在可替代 VPN 的更快、更简单、更安全的解决方案。而且，更多的组织意识到，他们在降低成本、限制非必要的

应用程序访问以及监控谁在使用什么资源方面处于紧要关头。

3

平均数据泄露损失为

重大数据泄露损失高达

386 万美元

4000 万-3.5 亿美元

淘汰 VPN 的 4 大优势

由于会在未来造成更多的不便和低效问题，因此 VPN 系统终身无忧的时代已经一去不复返了。基于云的服务使 IT 部门不仅

可以通过关闭所有入站防火墙端口并将用户阻隔在网络之外来实施 Zero Trust 安全框架，同时还能为用户提供即时、重要的

应用程序访问权限以便他们完成工作 — 所有这一切都可以由 IT 部门通过单一门户在几分钟（而不是几天内）轻松搞定。

面向应用程序访问的云框架如何工作？

可将应用程序访问云架构视为您的通用门户，通过它，您可获得一款开箱即用的解决方案，让您能获得 VPN 曾提供的一切功

能以及更多功能，而且不存在任何常见问题或复杂性。这意味着您将在一个跨所有应用程序的服务中获得数据路径保护、身份

和访问管理 (IAM)、应用程序安全和加速、单点登录 (SSO) 以及清晰的可见性

和控制能力。您将积累更少的技术债务，加固您的堆栈，同时简化过程并节省时间

（和潜在的开支）。

这反过来又为所有用户（无论是远程用户还是其他用户）提供安全的服务，而且

没有直接的路径进入您的网络。相反，它从数据中心或云中提供一个双向认证的

传输层安全 (TLS) 连接，从而让用户直接访问允许的应用程序。没有不安全的隧

道。没有明确的路径可供恶意软件入侵。而且恶意软件无法扩散到敏感系统。

或许最妙的是，应用程序现在可以呈现在用户选择的设备的任何浏览器上。通过

同时使用企业范围内的 SSO 和 MFA，IT 部门可以获得额外的控制能力，最终

用户体验将得到极大的简化和改善，最终，安全不再是主要的问题。

最后并且至关重要的是，定制脚本和集成过程将被彻底消除，因为各种各样的企

业基础设施都将在一次单击中无缝地合并。最终，用户获得了一个单一来源的安

全访问交付模式，该模式可为任何环境（用户可能需要进入基本应用程序的任何

位置）中部署的关键工作负载启用 Zero Trust 框架。

淘汰 VPN 的 4 大优势

确定用户需要的具体应用程序并相应地限制访问权限对于现代企业安全和用户体

验来说至关重要。对企业愈发重要的是，不仅能识别用户的设备，而且还能验证

请求访问的特定个人的身份。

这并不是一项轻松的任务，但淘汰 VPN 并迁移到统一的应用工作空间和门户的

优势是显而易见的。总的来说，IT 团队、最终用户和企业将注意到，基于云的访

问几乎可以即时在整个组织中提供四项关键的改进。

基于云的安全访问的后端优势

提升安全性只需单击一个按钮即可锁定防火墙、隐藏您的应用程序 IP 地址并添加 MFA，让您的网络远离不必

要的流量。

降低 IT 复杂性无需额外的软件，可跨所有应用程序轻松将 VPN 和 MFA 功能合

并至一个无缝的 SSO 中。

深入报告获取对所有用户活动完整的审计和报告，可作为内置报告使用或

与您的现有工具轻松集成。

简化采用在全球任何位置向任何设备类型交付应用程序，简化了采用并减

少了耗时的 IT 工单数。

4

淘汰 VPN 的 4 大优势

1. 更简单、更具体的远程访问

挑战：不必要的全网访问权限

组织应努力通过识别每个用户仅需要访问的应用程序来减少攻击面。这似乎是理所当然的，但事实是，多余的应用程序访问

权限是 VPN 存在的祸根。然而，一旦您淘汰 VPN，您也解除了冗余且无用的权限 — 以及不必要的、耗时的安全监控。

解决方案：识别最终用户、设备和背景

用户的 IP 地址并不靠谱。基于网络内部 IP 范围的信任是一个谬论。相反，应该根据身份、设备和环境信号（位置、时间、

身份验证状态、用户的组成员关系等方面的信号）不断地评估信任。最终，采用默认拒绝和最低权限的安全态势表明，每个

用户所需的特定应用程序访问权限可能只是当前 VPN 实际授予该用户的访问权限的一小部分。VPN 授予的访问权限会产生

大量可预防的风险，并且考虑到当今的移动和数字劳动力，用户很少只从一个设备访问您的网络。因此，不仅必须对请求访

问的个人进行身份验证和授权，而且还必须对请求访问的设备和背景进行身份验证和授权。

然后通过他们选择的设备，用户可以登录、证明他们的身份，并访问他们具有权限的应用程序 — 假设他们的背景不要求逐

步验证或撤销权限。这是一项简单、快速且安全的服务配置，可提供即时、可扩展的值。

2. 减少管理和 IT 部门的安全负担

挑战：非员工的权限

如果最佳实践是限制员工的访问权限，那么当然需要对您的生态系统的其他成

员（例如承包商和客户）进行资格认证并限制其访问权限。根据最新的 IDC 研

究，46% 的 IT 专业人士估计，他们的组织每年都会经历几次重大事件。11 随着

用户群的移动性、多样性、分散性和云优先性的程度不断提高，这些安全事件的

发生概率只会有增无减。由于访问控制是基于身份 （而不是 IP 地址），

因此下一个逻辑步骤是授权 IT 部门简单、快速地制定将用户绑定到给定应用

程序的策略，而不需要对网络进行硬件升级和耗时费力的全面更改。上述问题

是，VPN 不能且无法通过这种方式工作。

解决方案：设置安全的授权参数

建立一个用于身份验证和监视的集中控制点，以限制访问并降低潜在的恶意攻击

者获取网络凭据的风险。这不仅为管理和 IT 部门快速响应上述安全事件提供了必

要的敏捷性，而且还能让他们安心无忧。

通常，承包商、合作伙伴、供应商和其他兼职用户只需要短暂的访问。尽管项目/

任务可能有所不同，但是通过 VPN 配置、管理、监视和部署此类访问所需的时

间和资源是巨大的且始终存在的。IT 专业人士已不堪负重了；通过摒除 VPN 的

负担并将远程访问迁移到云端，您将节省大量业务时间和资金。

5

业务经济收益优势

节省时间支持 IT、安全和管理团队将时间专注在较高优先级项目上，而非监控和管理用户访问。

提高生产效率 淘汰不一致且性能低下的应用程序，确保用户可以更快速地

完成工作。

保护数据有效监控实时活动，防止出现公司数据、客户信息和其他知

识产权损失。

降低成本降低花费在昂贵的硬

件和安装上的预算资金，同时最大程度减少意外数据泄

露造成的损失。

淘汰 VPN 的 4 大优势

3. 简化的安全策略

挑战：数字化转型会增加风险

由于当今的威胁十分复杂，而且无约束的全网访问权限也带来了风险，“信任但验

证”方法不再是安全的选择 — 40% 的数据泄露与授权用户有关。12 然而，访问

需求在数量、复杂性、设备类型和来源方面仍在不断攀升。多个 VPN 网关通常会

给 IT 团队和您的企业带来很多麻烦，并且虚拟私有云 (VPC) 不能满足您的所有

需求。对于 VPC 或 VPC 而言，实施分隔式安全策略是不可避免的，并且由于持

续的路由环境复杂性和手动部署，它们最终会增加您公司的风险。难怪超过 50%

的被调查者认为，保护远程访问的所有方面是十分艰难的。13

解决方案：采用 Zero Trust 策略

再也没有“真正的内部”了。迁移到基于云的企业 IT 和安全模式不仅可以简化后

端流程并使应用程序对公众不可见，而且还添加了多重身份验证作为辅助层以降低

风险。新的应用程序可以在短短几分钟内部署完毕，使得每个应用程序可以节省数

百（甚至数千）小时的 IT 和管理时间。当需要设置或调整策略时，您可以快速、

简单地配置新用户，而无需进行额外的安装。

但 Zero Trust 策略的好处并非止于此。此外，只需在后端动动手指，即可完成用户活动审计和报告。无论是内置报告还是与

现有工具集成，您都可以根据自己的选择进行定制。

4. 通过无缝访问消除最终用户的受挫感

挑战：消除笨拙的流程

成功的组织必须始终牢记“易于使用”，以确保得到采纳和拥护。如果做到这一点，速度缓慢的服务器、频繁的服务水平下

降、缓慢的登入过程以及普遍的连接受挫感将在用户面前消散。反过来，您的 IT 安全团队将愉快地与繁琐的堆栈以及不间

断维护缓慢硬件说再见。此外，高管人员也将对成本的节省、资深 IT 员工被占用时间的释放，以及工作队伍生产率的提高

表示赞赏。

解决方案：适应云

基于云的解决方案是实现对定制应用程序进行无缝、通用访问的最可靠方法，并且具有出色的设备兼容性和更低的管

理复杂性。通过这种云架构，可以更加轻松迅速地集成、管理、监视和更新数据路径保护、IAM、应用程序安全和加

速、SSO、MFA 等等。在当今竞争日益激烈的全球市场中，这种快速、简单且安全的解决方案对于推动您企业向前发

展以及为那些帮助企业取得成功的人员提供支持而言至关重要。

6

淘汰 VPN 的 4 大优势

结论

全球组织不再受制于那些在不同数据中心或混合云环境中托管的过时 VPN 的低效性和易受攻击性。更快、更简单且更安全

的解决方案已经上市，这些解决方案可锁定所有入站防火墙端口，同时还为最终用户提供了针对仅需要的特定应用程序的远

程访问权限。非必要宽带网络访问的时代已经一去不复返了。

现在，是将您组织的基础设施与互联网相互分开的时候了。最大程度地减少攻击面。隐藏应用程序以避免在公共互联网上曝

光。此外，可在数分钟内部署一个基于云的现代化解决方案，以作为您的第一道防线 — 所有这一切的成本要比自己构建的

替代方案所需成本低得多。

如需详细了解 Akamai Zero Trust 方法、我们的安全交付模型和基于云的访问解决方案，请访问 akamai.com/eaa。

资料来源

1) IDC 《远程访问和安全性报告》，https://www.akamai.com/cn/zh/multimedia/documents/report/remote-access-security-challenges-and-opportunities.pdf

2) http://globalworkplaceanalytics.com/telecommuting-statistics

3) PGi《全球远程办公调查》，http://go.pgi.com/gen-genspec-15telesur-SC1129

4) http://globalworkplaceanalytics.com/telecommuting-statistics

5) IDC《远程访问和安全性报告》，https://www.akamai.com/cn/zh/multimedia/documents/report/remote-access-security-challenges-and-opportunities.pdf

6) https://www.upwork.com/press/2017/10/17/freelancing-in-america-2017

7) Deloitte《2018 年合并和收购趋势报告》，https://www.deloitte.com/content/dam/Deloitte/cn/Documents/mergers-acqisitions/cn-mergers-acquisitions-2018-trends-report.pdf

8) https://www.skyhighnetworks.com/cloud-security-blog/12-must-know-statistics-on-cloud-usage-in-the-enterprise

9) Ponemon Institute《2018 年数据泄露代价研究：全球概览》，https://www.ibm.com/security/data-breach

10) IDC《远程访问和安全性报告》，https://www.akamai.com/cn/zh/multimedia/documents/report/remote-access-security-challenges-and-opportunities.pdf

11) Ibid.

12) Ibid.

13) Ibid.

7

Akamai 为全球最大型企业提供安全的数字化体验。Akamai 的智能边缘平台涵盖了从企业到云端的每一个节点，因此客户及其业务可以做到快速、智能和安全。全球顶级品牌依靠 Akamai 通过敏捷的解

决方案帮助他们实现竞争优势，扩展其多云架构的强大功能。Akamai 使决策、应用程序和体验更贴近用户，帮助用户远离攻击和威胁。Akamai 一系列的边缘安全、Web 和移动性能、企业访问和视频

交付解决方案均可由优质客户服务、分析和全天候监控提供支持。如需了解全球顶级品牌信赖 Akamai 的原因，请访问 www.akamai.com 或 blogs.akamai.com，或者扫描下方二维码，关注我们的微信

公众号。您可访问 www.akamai.com/locations 查找我们的全球联系信息。发布时间：18 年 10 月。

淘汰 VPN 的关键步骤

那么，要实施安全无虞的远程访问解决方案，接下来该怎么办呢？每天都有新的创新方法出现，

但是首先您必须采用基于 Zero Trust 安全理念的有效策略。

要做到这一点，最好的办法就是保持简单：

将您的数据分类，分为公用数据和您划分为敏感信息的数据。

确定应用程序并确定具体哪些人需要访问它。

扩展和部署应用程序时应前置跨公共和私有基础设施的且可识别身份的全球分布式代理平台， 以实现高可用性。

采用基于云的架构，在此，每个人（甚至那些在家办公的人）都被认为是“远程员工”， 全都一样。

使用 MFA 和 SSO 对每个用户和设备进行监控、监控和再监控，同时使用实时报告功能来确保每个 应用程序始终是安全的。

可选：实施网络分隔技术，从而在一个子网中划分东西流量。