云時(shí)代的遠(yuǎn)程安全接入

一、 安全接入所涵蓋的需求范圍

一個(gè)基于網(wǎng)絡(luò)的安全解決方案，必然是一個(gè)端到端的安全體系架構(gòu)。也就是說(shuō)，在進(jìn)行初始的網(wǎng)絡(luò)安全解決方案設(shè)計(jì)時(shí)，我們就必須考慮到各個(gè)環(huán)節(jié)可能引入的安全威脅和風(fēng)險(xiǎn)。因此，安全接入所涵蓋的需求范圍，不應(yīng)是單指接入終端的安全性，而是一個(gè)涉及到“接入終端安全、傳輸通道安全、內(nèi)部資源安全”的完整安全體系。

能夠完整實(shí)現(xiàn)上述安全體系的接入技術(shù)，可以是一種技術(shù)，也可以是多種技術(shù)的組合。比如在“接入終端安全”方面，我們可以通過(guò)終端準(zhǔn)入控制、終端安全管理等技術(shù)來(lái)實(shí)現(xiàn)，而在“內(nèi)部資源安全”方面，我們可以選擇結(jié)合網(wǎng)絡(luò)域認(rèn)證進(jìn)行資源授權(quán)等方式來(lái)完成。但對(duì)于“傳輸通道安全”，尤其在Internet環(huán)境，在無(wú)法對(duì)業(yè)務(wù)訪問(wèn)的沿途節(jié)點(diǎn)進(jìn)行技術(shù)要求和部署時(shí)，我們可選擇的技術(shù)并不多，通常只能是：“加密的VPN通道”。

二、 IPsec VPN和SSL VPN

IPsec VPN和SSL VPN，兩者的共同特點(diǎn)一是都能實(shí)現(xiàn)數(shù)據(jù)的安全加密；二是都對(duì)沿途轉(zhuǎn)發(fā)節(jié)點(diǎn)沒(méi)有額外技術(shù)要求。但是，由于兩者在技術(shù)上采用不同的網(wǎng)絡(luò)層次來(lái)進(jìn)行安全加密處理以建立網(wǎng)絡(luò)安全通道，因此在連通性、安全性方面還是存在著差異。

? IPsec VPN，是網(wǎng)絡(luò)層的VPN技術(shù)，對(duì)應(yīng)用層協(xié)議完全透明，一旦建立IPsec VPN加密隧道后，就可以在通道內(nèi)實(shí)現(xiàn)各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等這是IPsec VPN的最大優(yōu)點(diǎn)。另外，IPsec VPN在實(shí)際部署時(shí)，通常向遠(yuǎn)端開(kāi)放的是一個(gè)網(wǎng)段，針對(duì)單個(gè)主機(jī)、單個(gè)傳輸層端口的安全控制部署較復(fù)雜，因此其安全控制的粒度相對(duì)較粗。

? SSL VPN，基于SSL 協(xié)議，而SSL協(xié)議內(nèi)嵌在瀏覽器中，因此任何擁有瀏覽器的終端都天然支持SSL VPN，這讓SSL VPN技術(shù)在瘦終端日益普及的云時(shí)代如魚(yú)得水。同時(shí)，SSL協(xié)議位于TCP/IP協(xié)議與應(yīng)用層協(xié)議之間，其安全控制粒度可以做到精細(xì)化，可以僅開(kāi)放一個(gè)主機(jī)、一個(gè)端口甚至一個(gè)URL。但相應(yīng)的，其應(yīng)用兼容性整體上則更弱一些。SSL VPN相對(duì)于IPsec VPN的另外一個(gè)核心優(yōu)勢(shì)在于：無(wú)需增加設(shè)備、無(wú)需改動(dòng)接入側(cè)的網(wǎng)絡(luò)結(jié)構(gòu)即可實(shí)現(xiàn)安全接入。這非常適用于租賃型的云計(jì)算應(yīng)用場(chǎng)景，比如：超算中心。

由于IPsec VPN和SSL VPN各自不同的技術(shù)特點(diǎn)，在實(shí)際部署中，IPsec VPN技術(shù)通常部署于站點(diǎn)對(duì)站點(diǎn)（site to site）模式的安全互聯(lián)場(chǎng)景，而SSL VPN技術(shù)則更多的用于終端對(duì)站點(diǎn)（client to site）的應(yīng)用場(chǎng)景。相應(yīng)的，IPsec VPN技術(shù)要求兩端網(wǎng)絡(luò)出口成對(duì)部署IPsec VPN網(wǎng)關(guān)，而SSL VPN技術(shù)則要求核心網(wǎng)絡(luò)部署SSL VPN網(wǎng)關(guān)、接入端采用集成SSL協(xié)議的瀏覽器即可（如圖1所示）。

三、 云時(shí)代的遠(yuǎn)程安全接入的變化

云計(jì)算主要傳輸通道是互聯(lián)網(wǎng)，這也是惡意攻擊經(jīng)常發(fā)生的地方。用戶能夠放心的把企業(yè)和個(gè)人資料存放于云上，不僅需要法律法規(guī)約束云服務(wù)商不會(huì)查看到用戶信息，更需要可靠的安全技術(shù)手段來(lái)提高用戶對(duì)云計(jì)算環(huán)境的安全信心。云時(shí)代的安全接入挑戰(zhàn)與傳統(tǒng)安全有何不同呢？在傳統(tǒng)遠(yuǎn)程安全接入需求的基礎(chǔ)上，云時(shí)代所帶來(lái)的核心需求變化體現(xiàn)在如下兩個(gè)方面：

? 多租戶帶來(lái)的安全問(wèn)題。不同用戶之間相互隔離，避免相互影響。云時(shí)代，需要通過(guò)技術(shù)杜絕在云端用戶“越界”的可能。不僅企業(yè)與企業(yè)之間要實(shí)現(xiàn)相互隔離，部門與部門之間、終端用戶與終端用戶之間也要實(shí)現(xiàn)相互隔離。只有能夠提供粒度細(xì)至每個(gè)用戶的獨(dú)立安全通道，才能夠從技術(shù)上解決多租戶環(huán)境給企業(yè)安全管理人員帶來(lái)的困擾。

? 采用第三方平臺(tái)帶來(lái)的安全問(wèn)題。服務(wù)提供商管理人員的實(shí)際權(quán)限將是非�，F(xiàn)實(shí)的問(wèn)題，運(yùn)維管理人員必須在經(jīng)過(guò)企業(yè)內(nèi)部系統(tǒng)管理員充分授權(quán)的情況下，才能夠登錄和訪問(wèn)企業(yè)的后臺(tái)管理系統(tǒng)。相應(yīng)的，每個(gè)租戶/企業(yè)也必須擁有獨(dú)立、隔離的管理維護(hù)系統(tǒng)，以保證業(yè)務(wù)系統(tǒng)管理的獨(dú)立性和自主性。

四、 “云端互聯(lián)”涉及的遠(yuǎn)程安全接入

傳統(tǒng)遠(yuǎn)程安全接入技術(shù)，主要是指“跨Internet”的安全訪問(wèn)，如分支互聯(lián)和移動(dòng)辦公的業(yè)務(wù)應(yīng)用；而在云時(shí)代，尤其是在私有云的應(yīng)用場(chǎng)景，雖然部分終端向云的接入不再經(jīng)過(guò)Internet，但在數(shù)據(jù)集中計(jì)算和存儲(chǔ)的背景下，共用網(wǎng)絡(luò)平臺(tái)引入了新的“私密性”和“用戶鑒權(quán)”的安全需求，由此，云時(shí)代的遠(yuǎn)程安全接入主要是指“跨共用網(wǎng)絡(luò)平臺(tái)”的安全訪問(wèn)，包含“云端互聯(lián)”和“云間互聯(lián)”兩個(gè)方面（如圖2所示）。

“云間互聯(lián)”本質(zhì)上是解決兩個(gè)數(shù)據(jù)中心的互聯(lián)互通問(wèn)題，因此前文所提的兩個(gè)核心需求變化對(duì)“云間互聯(lián)”的應(yīng)用場(chǎng)景并無(wú)影響。其相關(guān)的技術(shù)關(guān)注點(diǎn)與傳統(tǒng)的分支互聯(lián)在安全性上并無(wú)差別、僅僅是對(duì)設(shè)備性能和可靠性提出了更高的要求。本文不再贅述。

我們重點(diǎn)對(duì)“云端互聯(lián)”場(chǎng)景進(jìn)行分析。前文已介紹，“云端互聯(lián)”的安全接入包含“接入終端安全、傳輸通道安全、內(nèi)部資源安全”三個(gè)方面，而我們選擇的SSL VPN技術(shù)能夠很好的解決傳輸通道安全問(wèn)題。那么在接入終端安全、內(nèi)部資源安全方面，該如何解決？是否也能夠通過(guò)SSL VPN技術(shù)實(shí)現(xiàn)？

答案是肯定的。首先，業(yè)界常見(jiàn)的SSL VPN設(shè)備均能夠提供終端安全檢查功能，其基于內(nèi)置控件可以對(duì)接入終端的安全性進(jìn)行檢查，檢查內(nèi)容包括進(jìn)程、文件、瀏覽器及補(bǔ)丁版本、殺毒軟件及病毒庫(kù)版本、操作系統(tǒng)及補(bǔ)丁版本等。同時(shí)，SSL VPN可以根據(jù)終端安全檢查級(jí)別進(jìn)行資源分級(jí)授權(quán)，即系統(tǒng)可以根據(jù)終端安全檢查的結(jié)果、向終端下發(fā)相應(yīng)的資源訪問(wèn)權(quán)限。由此，接入終端的安全性問(wèn)題得到了很好的解決。

內(nèi)部資源安全的問(wèn)題又如何解決？?jī)?nèi)部資源的安全性問(wèn)題，從本質(zhì)上講是一個(gè)鑒權(quán)的問(wèn)題，只要保證通過(guò)最小授權(quán)原則、將相應(yīng)的資源授權(quán)給相應(yīng)的用戶，內(nèi)部資源的安全問(wèn)題就在安全接入層面得到了保障。SSL VPN在傳統(tǒng)“用戶名+密碼”認(rèn)證的基礎(chǔ)上，同時(shí)支持證書(shū)認(rèn)證、動(dòng)態(tài)口令認(rèn)證、短信認(rèn)證等多重認(rèn)證方式，并能夠提供“用戶名+證書(shū)”、“證書(shū)+動(dòng)態(tài)口令”等組合認(rèn)證方式，保證認(rèn)證過(guò)程的周密嚴(yán)格。同時(shí)，前文我們也提到了，SSL VPN可以僅開(kāi)放一個(gè)主機(jī)、一個(gè)端口甚至一個(gè)URL，可以對(duì)不同的業(yè)務(wù)系統(tǒng)進(jìn)行最小資源授權(quán)。

通過(guò)周密嚴(yán)格的認(rèn)證過(guò)程和最小資源授權(quán)系統(tǒng)，不僅解決了內(nèi)部資源安全的問(wèn)題，也解決了多租戶之間的業(yè)務(wù)訪問(wèn)相互獨(dú)立和隔離的問(wèn)題。

最后，我們還需要解決多租戶SSL VPN系統(tǒng)的獨(dú)立管理維護(hù)問(wèn)題。這個(gè)問(wèn)題也在防火墻設(shè)備的應(yīng)用中出現(xiàn)過(guò)，最終通過(guò)虛擬防火墻技術(shù)得以解決。以H3C SecBlade SSL VPN的虛擬化技術(shù)為例，它支持類似虛擬防火墻技術(shù)的虛擬域技術(shù)，能夠?qū)�單一物理系統(tǒng)從邏輯上虛擬為多個(gè)獨(dú)立的虛擬門戶、提供給不同的租戶。同時(shí)出于云平臺(tái)運(yùn)營(yíng)管理的需要，根域可對(duì)SSL VPN設(shè)備進(jìn)行基礎(chǔ)管理、并實(shí)現(xiàn)子域的劃分與基礎(chǔ)設(shè)定，而每個(gè)企業(yè)用戶可以對(duì)自己的子域進(jìn)行完全獨(dú)立的配置管理。

五、 結(jié)束語(yǔ)

在云時(shí)代，安全接入不再是僅滿足“移動(dòng)辦公和分支互聯(lián)的部分用戶”的需求，而是要滿足接入“云中心”的所有終端的共同需求。在解決了端到端的業(yè)務(wù)安全性需求之后，性能和可擴(kuò)展性這兩個(gè)方面也需要重點(diǎn)考慮：成百倍增加的接入用戶規(guī)模，反應(yīng)到SSL VPN系統(tǒng)的硬件性能上，就是遠(yuǎn)高于傳統(tǒng)設(shè)備的業(yè)務(wù)加密吞吐能力。而隨著業(yè)務(wù)的階段性部署和持續(xù)發(fā)展，則要求設(shè)備必須具有良好的擴(kuò)展性，以保證滿足云時(shí)代資源池化的基礎(chǔ)需求。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]