遠程訪問VPN設備該怎樣挑選
網(wǎng)絡安全之遠程訪問VPN
虛擬專用網(wǎng)(遠程訪問VPN)絡設備是網(wǎng)絡安全設備市場上的一個重要成員,但其角色已經(jīng)發(fā)生了變化。企業(yè)WLAN的擴展,再加上正在消失的網(wǎng)絡外圍,都意味著VPN用戶不再是“遠程的”。
如今,VPN可以向任何移動設備(包括漫游的智能電話)提供公司資源的安全(經(jīng)認證的、加密的)訪問。從遠在異地的筆記本電腦到本地的平板電腦,我們要確認安全的訪問需要,并關注VPN設備如何強化自身,以滿足企業(yè)日益增長的需要。
遠程訪問VPN的演化
二十年前,需要遠程網(wǎng)絡訪問的雇員,必須撥號進入私有的Modem池。而十年前,多數(shù)單位用其基于互聯(lián)網(wǎng)的訪問代替撥號訪問,它們使用的IPSec在VPN網(wǎng)關和客戶端之間建立隧道。到2006年的時候,趨勢又發(fā)生變化,SSL(安全套接字層)成為基于瀏覽器的“無客戶端”遠程訪問的一種普遍選擇。
如今,業(yè)界普遍認為基于SSLv3及TLSv1(傳輸層安全)的VPN是企業(yè)級安全的最佳實踐。但在發(fā)展過程中,企業(yè)開始注重可訪問性和透明性。具體而言,雖然TLS自身是一種IETF標準, VPN產(chǎn)品卻以不同的方式使用TLS和DTLS,在端點的限制、風險與每個用戶、應用程序的需要之間尋求平衡。
這種靈活性已變得日益重要,但這樣同時使得產(chǎn)品的選擇和部署變復雜了。例如,當代SSL VPN設備常常提供:
1、對有風險的端點,在訪問特定的應用程序時,保障WEB入口訪問的安全。
2、對多數(shù)端點而言,在訪問常見的應用程序時,保障代理訪問的安全。
3、對支持Java/ActiveX的端點而言,保障端口轉(zhuǎn)發(fā)到應用程序的安全。
4、借助TLS或IPSec VPN客戶端,保障網(wǎng)絡通道的安全。
但這些功能如何工作,支持哪些應用程序,哪些端點可以使用,以及部署后帶來的影響都千差萬別。過去幾年,SSL VPN的功能及其部署方式已經(jīng)有了很大進步,例如,使用第三層的TLS或DTLS隧道來支持對延遲敏感的語音和多媒體應用。然而,我們?nèi)孕枭钊胙芯考毠?jié),看看某種特定設備是否滿足企業(yè)需求。
IT的消費化及自帶設備
SSL VPN可以減少遠程訪問支持的成本和復雜性。通過使用瀏覽器而不是客戶端,SSL VPN可確保從大量端點遠程訪問時的安全性,包括非IT管理的家用和公用電腦。
如今,無需安裝軟件,就可以從任何授權(quán)的PC訪問遠程VPN。同樣,從很多授權(quán)的智能電話或平板電腦也可以訪問VPN。許多無法管理的或移動端點會受到限制,只能訪問VPN入口或代理訪問。
有些訪問限制是由策略驅(qū)使的。為管理端點的風險,IT可以僅給予合伙人很小的訪問權(quán),只能訪問很少的URL。當代的遠程訪問VPN可以提供這種精細的訪問控制。
不過,許多限制來自于端點的操作系統(tǒng)或用戶(缺乏)許可。TLS網(wǎng)絡隧道傾向于要求安裝VPN客戶,如Win32/64和Mac OS,卻鮮有iOS或Android等系統(tǒng)。通過TLS的端口轉(zhuǎn)發(fā)通常涉及按需下載的Java或ActiveX,但ActiveX并非在哪里都可以運行,且端口轉(zhuǎn)發(fā)會要求管理員權(quán)限。
而且,當今的遠程訪問VPN產(chǎn)品提供了許多可以減輕風險的特性,從預連接掃描到會話后的清理。任何考慮購買VPN來管理端點的企業(yè)都應當密切關注這些產(chǎn)品,看其是否滿足企業(yè)需要,并評估對需要此產(chǎn)品的支持程度,尤其要重視策略檢查。
正在消失的外圍
隨著移動性的增長,企業(yè)網(wǎng)絡的外圍被擠壓、撕裂。在所有的端點都是遠程端點時,在網(wǎng)絡邊緣部署VPN網(wǎng)關是很有益處的,這可以將授權(quán)的加密隧道與私有的子網(wǎng)或資源連接起來。但現(xiàn)在,端點也許將太多的時間用在這些領域:從連接局域網(wǎng)的網(wǎng)本到連接Wi-Fi的雇員智能電話的諸多方面,后面是不是應該有個結(jié)論。
這種情況如何影響到遠程訪問的VPN產(chǎn)品?對于初入此道的人來說,VPN已經(jīng)被迫日益透明,從永遠在線的VPN到“移動”的VPN。此外,異地的VPN已經(jīng)開始融入本地的NAC,幫助企業(yè)將連續(xù)的安全訪問交付給每一個用戶/端點,而不管它在什么位置。
簡言之,今天任何想購買遠程訪問VPN設備的人都應當思考更大的問題。即使在線的端點不是首先需要進行連接的,也應當在考慮移動性的前提下設計VPN架構(gòu),并且評估對策略和用戶透明性的影響。最后,考慮監(jiān)管需要:VPN設備控制著授權(quán)用戶的訪問,因而能夠強化分段規(guī)則并報告其合規(guī)性。
評估標準
以此為基礎,你可以確認自己對于遠程訪問VPN設備的需求。為應對員工們的移動性工作需要,不妨根據(jù)角色將員工分成小組。對每一個組,要全面列示其使用端點的設備種類,這些設備必須到達的應用程序類型,準許其訪問的特定資源及特定條件等。
為將企業(yè)需求與個別產(chǎn)品的功能和特性匹配起來,首先應考慮VPN的功能。下面列舉幾個重要方面供參考:
認證:VPN的安全是基于認證的,最好的當然是相互認證。SSL VPN通常都支持多用戶的認證方法,包括口令、智能卡、雙因素令牌、證書等。許多IPSec VPN使用IKEv2來支持EAP協(xié)議所使用的任何方法。應當選擇一個支持所需認證方法的設備,并與用戶數(shù)據(jù)庫相集成(如活動目錄)。不太常見的特性包括無需重新驗證的單點驗證和漫游等。
加密和集成保護:安全隧道協(xié)議,如SSL、TLS、DTLS、IPSec等都對信息進行加密、集成、重播保護,有時還有來源認證等。IPSec封裝安全協(xié)議(ESP)適用于第3層,可以保護整個IP包。其它協(xié)議可應用在第三層或第四層。應當選擇一個可以滿足企業(yè)的傳輸數(shù)據(jù)保護策略的設備,其中包括加密,認證和互操作性要求。
訪問控制:早期的VPN設備建立隧道并將所有的通信從用戶傳送給網(wǎng)關,或僅傳送目的地為私有子網(wǎng)的通信(即分割隧道)。SSL VPN增加了精細控制,包括對特定應用程序、URL或操作(例如,文件只讀而不能寫入等)的訪問。此功能還在不變發(fā)生變革。單位不妨根據(jù)端點的風險、合規(guī)性或位置、基于組或角色的訪問控制,選擇可以支持透明適應每一個用戶的策略。
端點安全控制:基于風險的多種訪問類型都要求識別端點、評估其安全狀態(tài)和合規(guī)性,或是上述組合。例如,如果試圖從一臺可管理的網(wǎng)本訪問,檢查器可以確認端點是否擁有操作系統(tǒng)補丁或反惡意軟件。如果試圖從一個智能電話訪問,VPN仍可以查找IT所安裝的“水印”。無論在操作系統(tǒng)的控制廣度和深度上,這都是一個快速變化的領域。對于筆記本而言,不妨考慮數(shù)據(jù)倉庫等先進功能。對移動設備而言,可關注指紋識別等服務器端技術。
入侵防御:連接前的檢查很有幫助,卻遠遠不夠。為減少風險,VPN可以將很少的訪問權(quán)授與有風險的端點,或運用應用全面的入侵防御來阻止惡意軟件進入安全隧道。這是區(qū)分不同VPN產(chǎn)品的另一個要素。廠商們競相集成安全特性,并提供更深入的功能,特別是進入80端口以強化每個應用程序的策略,并且阻止惡意活動。類似的功能有很多,從移動安全代理,到基于聲譽的WEB防御,企業(yè)要注意過多的功能可能導致的價格和總成本問題。
可管理性:這是任何產(chǎn)品的一個重要特征,對遠程訪問的VPN而言這尤其重要。購買價格、維護費用、安裝成本、策略變化、日常維護等都會影響到總成本,因而購買時需要注意。
高可用性和可擴展性:企業(yè)級遠程訪問VPN產(chǎn)品提供高可用性和可擴展性選項,如熱同步的主動負載均衡網(wǎng)關。單位不但應當關注可用性和可擴展性,還應看一下許可協(xié)議。例如,那些部署遠程訪問VPN用于災難恢復的單位可能需要“量入為出”的許可。
定制:遠程訪問VPN常常從定制中獲益。這種定制的范圍很廣,從根據(jù)每用戶/組的入口頁來組織源鏈接,一直到為私有應用程序增加代理VPN轉(zhuǎn)換。
注:以上只是當代杰出的遠程訪問VPN設備的許多重要功能的一個重要而非全面的清單。
遠程訪問VPN設備在選購設備時,企業(yè)應當根據(jù)自己的業(yè)務特點和需要,有重點地進行考查和評估,只有這樣才能真正做到“有的放矢”。
【編輯推薦】
