|
一���、 安全接入所涵蓋的需求范圍
一個基于網(wǎng)絡(luò)的安全解決方案���,必然是一個端到端的安全體系架構(gòu)。也就是說��,在進(jìn)行初始的網(wǎng)絡(luò)安全解決方案設(shè)計時��,我們就必須考慮到各個環(huán)節(jié)可能引入的安全威脅和風(fēng)險�����。因此��,安全接入所涵蓋的需求范圍���,不應(yīng)是單指接入終端的安全性����,而是一個涉及到“接入終端安全����、傳輸通道安全、內(nèi)部資源安全”的完整安全體系��。
能夠完整實現(xiàn)上述安全體系的接入技術(shù),可以是一種技術(shù)����,也可以是多種技術(shù)的組合。比如在“接入終端安全”方面���,我們可以通過終端準(zhǔn)入控制�����、終端安全管理等技術(shù)來實現(xiàn)�,而在“內(nèi)部資源安全”方面��,我們可以選擇結(jié)合網(wǎng)絡(luò)域認(rèn)證進(jìn)行資源授權(quán)等方式來完成���。但對于“傳輸通道安全”��,尤其在Internet環(huán)境��,在無法對業(yè)務(wù)訪問的沿途節(jié)點進(jìn)行技術(shù)要求和部署時�����,我們可選擇的技術(shù)并不多���,通常只能是:“加密的VPN通道”。
二����、 IPsec VPN和SSL VPN
IPsec VPN和SSL VPN,兩者的共同特點一是都能實現(xiàn)數(shù)據(jù)的安全加密�;二是都對沿途轉(zhuǎn)發(fā)節(jié)點沒有額外技術(shù)要求。但是�,由于兩者在技術(shù)上采用不同的網(wǎng)絡(luò)層次來進(jìn)行安全加密處理以建立網(wǎng)絡(luò)安全通道,因此在連通性���、安全性方面還是存在著差異�����。
? IPsec VPN����,是網(wǎng)絡(luò)層的VPN技術(shù)�����,對應(yīng)用層協(xié)議完全透明�,一旦建立IPsec VPN加密隧道后,就可以在通道內(nèi)實現(xiàn)各種類型的連接,如Web���、電子郵件��、文件傳輸����、VoIP等這是IPsec VPN的最大優(yōu)點���。另外��,IPsec VPN在實際部署時����,通常向遠(yuǎn)端開放的是一個網(wǎng)段�,針對單個主機(jī)、單個傳輸層端口的安全控制部署較復(fù)雜����,因此其安全控制的粒度相對較粗。
? SSL VPN����,基于SSL 協(xié)議����,而SSL協(xié)議內(nèi)嵌在瀏覽器中�����,因此任何擁有瀏覽器的終端都天然支持SSL VPN�,這讓SSL VPN技術(shù)在瘦終端日益普及的云時代如魚得水����。同時,SSL協(xié)議位于TCP/IP協(xié)議與應(yīng)用層協(xié)議之間���,其安全控制粒度可以做到精細(xì)化����,可以僅開放一個主機(jī)��、一個端口甚至一個URL�。但相應(yīng)的,其應(yīng)用兼容性整體上則更弱一些��。SSL VPN相對于IPsec VPN的另外一個核心優(yōu)勢在于:無需增加設(shè)備����、無需改動接入側(cè)的網(wǎng)絡(luò)結(jié)構(gòu)即可實現(xiàn)安全接入�。這非常適用于租賃型的云計算應(yīng)用場景����,比如:超算中心。
由于IPsec VPN和SSL VPN各自不同的技術(shù)特點���,在實際部署中���,IPsec VPN技術(shù)通常部署于站點對站點(site to site)模式的安全互聯(lián)場景,而SSL VPN技術(shù)則更多的用于終端對站點(client to site)的應(yīng)用場景�����。相應(yīng)的����,IPsec VPN技術(shù)要求兩端網(wǎng)絡(luò)出口成對部署IPsec VPN網(wǎng)關(guān),而SSL VPN技術(shù)則要求核心網(wǎng)絡(luò)部署SSL VPN網(wǎng)關(guān)�����、接入端采用集成SSL協(xié)議的瀏覽器即可(如圖1所示)���。
三�����、 云時代的遠(yuǎn)程安全接入的變化
云計算主要傳輸通道是互聯(lián)網(wǎng)����,這也是惡意攻擊經(jīng)常發(fā)生的地方。用戶能夠放心的把企業(yè)和個人資料存放于云上�����,不僅需要法律法規(guī)約束云服務(wù)商不會查看到用戶信息��,更需要可靠的安全技術(shù)手段來提高用戶對云計算環(huán)境的安全信心����。云時代的安全接入挑戰(zhàn)與傳統(tǒng)安全有何不同呢�?在傳統(tǒng)遠(yuǎn)程安全接入需求的基礎(chǔ)上,云時代所帶來的核心需求變化體現(xiàn)在如下兩個方面:
? 多租戶帶來的安全問題�。不同用戶之間相互隔離,避免相互影響���。云時代���,需要通過技術(shù)杜絕在云端用戶“越界”的可能�����。不僅企業(yè)與企業(yè)之間要實現(xiàn)相互隔離�����,部門與部門之間���、終端用戶與終端用戶之間也要實現(xiàn)相互隔離。只有能夠提供粒度細(xì)至每個用戶的獨立安全通道���,才能夠從技術(shù)上解決多租戶環(huán)境給企業(yè)安全管理人員帶來的困擾�。
? 采用第三方平臺帶來的安全問題����。服務(wù)提供商管理人員的實際權(quán)限將是非常現(xiàn)實的問題���,運(yùn)維管理人員必須在經(jīng)過企業(yè)內(nèi)部系統(tǒng)管理員充分授權(quán)的情況下��,才能夠登錄和訪問企業(yè)的后臺管理系統(tǒng)��。相應(yīng)的�,每個租戶/企業(yè)也必須擁有獨立、隔離的管理維護(hù)系統(tǒng)��,以保證業(yè)務(wù)系統(tǒng)管理的獨立性和自主性����。
四、 “云端互聯(lián)”涉及的遠(yuǎn)程安全接入
傳統(tǒng)遠(yuǎn)程安全接入技術(shù)�,主要是指“跨Internet”的安全訪問,如分支互聯(lián)和移動辦公的業(yè)務(wù)應(yīng)用�����;而在云時代���,尤其是在私有云的應(yīng)用場景,雖然部分終端向云的接入不再經(jīng)過Internet��,但在數(shù)據(jù)集中計算和存儲的背景下���,共用網(wǎng)絡(luò)平臺引入了新的“私密性”和“用戶鑒權(quán)”的安全需求�,由此��,云時代的遠(yuǎn)程安全接入主要是指“跨共用網(wǎng)絡(luò)平臺”的安全訪問,包含“云端互聯(lián)”和“云間互聯(lián)”兩個方面(如圖2所示)��。
“云間互聯(lián)”本質(zhì)上是解決兩個數(shù)據(jù)中心的互聯(lián)互通問題�����,因此前文所提的兩個核心需求變化對“云間互聯(lián)”的應(yīng)用場景并無影響���。其相關(guān)的技術(shù)關(guān)注點與傳統(tǒng)的分支互聯(lián)在安全性上并無差別���、僅僅是對設(shè)備性能和可靠性提出了更高的要求。本文不再贅述��。
我們重點對“云端互聯(lián)”場景進(jìn)行分析���。前文已介紹��,“云端互聯(lián)”的安全接入包含“接入終端安全����、傳輸通道安全��、內(nèi)部資源安全”三個方面,而我們選擇的SSL VPN技術(shù)能夠很好的解決傳輸通道安全問題�����。那么在接入終端安全����、內(nèi)部資源安全方面,該如何解決��?是否也能夠通過SSL VPN技術(shù)實現(xiàn)����?
答案是肯定的。首先����,業(yè)界常見的SSL VPN設(shè)備均能夠提供終端安全檢查功能,其基于內(nèi)置控件可以對接入終端的安全性進(jìn)行檢查���,檢查內(nèi)容包括進(jìn)程、文件��、瀏覽器及補(bǔ)丁版本�、殺毒軟件及病毒庫版本、操作系統(tǒng)及補(bǔ)丁版本等。同時�����,SSL VPN可以根據(jù)終端安全檢查級別進(jìn)行資源分級授權(quán)�����,即系統(tǒng)可以根據(jù)終端安全檢查的結(jié)果��、向終端下發(fā)相應(yīng)的資源訪問權(quán)限���。由此����,接入終端的安全性問題得到了很好的解決��。
內(nèi)部資源安全的問題又如何解決����?內(nèi)部資源的安全性問題,從本質(zhì)上講是一個鑒權(quán)的問題�,只要保證通過最小授權(quán)原則、將相應(yīng)的資源授權(quán)給相應(yīng)的用戶���,內(nèi)部資源的安全問題就在安全接入層面得到了保障�����。SSL VPN在傳統(tǒng)“用戶名+密碼”認(rèn)證的基礎(chǔ)上�����,同時支持證書認(rèn)證���、動態(tài)口令認(rèn)證���、短信認(rèn)證等多重認(rèn)證方式,并能夠提供“用戶名+證書”��、“證書+動態(tài)口令”等組合認(rèn)證方式���,保證認(rèn)證過程的周密嚴(yán)格���。同時,前文我們也提到了�,SSL VPN可以僅開放一個主機(jī)���、一個端口甚至一個URL��,可以對不同的業(yè)務(wù)系統(tǒng)進(jìn)行最小資源授權(quán)���。
通過周密嚴(yán)格的認(rèn)證過程和最小資源授權(quán)系統(tǒng)�,不僅解決了內(nèi)部資源安全的問題�,也解決了多租戶之間的業(yè)務(wù)訪問相互獨立和隔離的問題。
最后����,我們還需要解決多租戶SSL VPN系統(tǒng)的獨立管理維護(hù)問題。這個問題也在防火墻設(shè)備的應(yīng)用中出現(xiàn)過���,最終通過虛擬防火墻技術(shù)得以解決���。以H3C SecBlade SSL VPN的虛擬化技術(shù)為例,它支持類似虛擬防火墻技術(shù)的虛擬域技術(shù)�,能夠?qū)我晃锢硐到y(tǒng)從邏輯上虛擬為多個獨立的虛擬門戶、提供給不同的租戶�。同時出于云平臺運(yùn)營管理的需要,根域可對SSL VPN設(shè)備進(jìn)行基礎(chǔ)管理����、并實現(xiàn)子域的劃分與基礎(chǔ)設(shè)定���,而每個企業(yè)用戶可以對自己的子域進(jìn)行完全獨立的配置管理。
五���、 結(jié)束語
在云時代�����,安全接入不再是僅滿足“移動辦公和分支互聯(lián)的部分用戶”的需求�����,而是要滿足接入“云中心”的所有終端的共同需求���。在解決了端到端的業(yè)務(wù)安全性需求之后,性能和可擴(kuò)展性這兩個方面也需要重點考慮:成百倍增加的接入用戶規(guī)模��,反應(yīng)到SSL VPN系統(tǒng)的硬件性能上�,就是遠(yuǎn)高于傳統(tǒng)設(shè)備的業(yè)務(wù)加密吞吐能力。而隨著業(yè)務(wù)的階段性部署和持續(xù)發(fā)展�,則要求設(shè)備必須具有良好的擴(kuò)展性,以保證滿足云時代資源池化的基礎(chǔ)需求���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊頂級提供商��!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
