圖1 常見的加密VPN應用場景

三、 云時代的遠程安全接入的變化

云計算主要傳輸通道是互聯(lián)網,這也是惡意攻擊經常發(fā)生的地方。用戶能夠放心的把企業(yè)和個人資料存放于云上,不僅需要法律法規(guī)約束云服務商不會查看到 用戶信息,更需要可靠的安全技術手段來提高用戶對云計算環(huán)境的安全信心。云時代的安全接入挑戰(zhàn)與傳統(tǒng)安全有何不同呢?在傳統(tǒng)遠程安全接入需求的基礎上,云 時代所帶來的核心需求變化體現(xiàn)在如下兩個方面:

l 多租戶帶來的安全問題。不同用戶之間相互隔離,避免相互影響。云時代,需要通過技術杜絕在云端用戶“越界”的可能。不僅企業(yè)與企業(yè)之間要實現(xiàn)相互隔離,部 門與部門之間、終端用戶與終端用戶之間也要實現(xiàn)相互隔離。只有能夠提供粒度細至每個用戶的獨立安全通道,才能夠從技術上解決多租戶環(huán)境給企業(yè)安全管理人員 帶來的困擾。

l 采用第三方平臺帶來的安全問題。服務提供商管理人員的實際權限將是非常現(xiàn)實的問題,運維管理人員必須在經過企業(yè)內部系統(tǒng)管理員充分授權的情況下,才能夠登 錄和訪問企業(yè)的后臺管理系統(tǒng)。相應的,每個租戶/企業(yè)也必須擁有獨立、隔離的管理維護系統(tǒng),以保證業(yè)務系統(tǒng)管理的獨立性和自主性。

四、 “云端互聯(lián)”涉及的遠程安全接入

傳統(tǒng)遠程安全接入技術,主要是指“跨Internet”的安全訪問,如分支互聯(lián)和移動辦公的業(yè)務應用;而在云時代,尤其是在私有云的應用場景,雖然 部分終端向云的接入不再經過Internet,但在數據集中計算和存儲的背景下,共用網絡平臺引入了新的“私密性”和“用戶鑒權”的安全需求,由此,云時 代的遠程安全接入主要是指“跨共用網絡平臺”的安全訪問,包含“云端互聯(lián)”和“云間互聯(lián)”兩個方面(如圖2所示)。

圖2 云端互聯(lián)與云間互聯(lián)示意圖

“云間互聯(lián)”本質上是解決兩個數據中心的互聯(lián)互通問題,因此前文所提的兩個核心需求變化對“云間互聯(lián)”的應用場景并無影響。其相關的技術關注點與傳統(tǒng)的分支互聯(lián)在安全性上并無差別、僅僅是對設備性能和可靠性提出了更高的要求。本文不再贅述。

我們重點對“云端互聯(lián)”場景進行分析。前文已介紹,“云端互聯(lián)”的安全接入包含“接入終端安全、傳輸通道安全、內部資源安全”三個方面,而我們選擇的SSL VPN技術能夠很好的解決傳輸通道安全問題。那么在接入終端安全、內部資源安全方面,該如何解決?是否也能夠通過SSL VPN技術實現(xiàn)?

答案是肯定的。首先,業(yè)界常見的SSL VPN設備均能夠提供終端安全檢查功能,其基于內置控件可以對接入終端的安全性進行檢查,檢查內容包括進程、文件、瀏覽器及補丁版本、殺毒軟件及病毒庫版本、操作系統(tǒng)及補丁版本等。同時,SSL VPN可以根據終端安全檢查級別進行資源分級授權,即系統(tǒng)可以根據終端安全檢查的結果、向終端下發(fā)相應的資源訪問權限。由此,接入終端的安全性問題得到了很好的解決。

內部資源安全的問題又如何解決?內部資源的安全性問題,從本質上講是一個鑒權的問題,只要保證通過最小授權原則、將相應的資源授權給相應的用戶,內部資源的安全問題就在安全接入層面得到了保障。SSL VPN在傳統(tǒng)“用戶名+密碼”認證的基礎上,同時支持證書認證、動態(tài)口令認證、短信認證等多重認證方式,并能夠提供“用戶名+證書”、“證書+動態(tài)口令” 等組合認證方式,保證認證過程的周密嚴格。同時,前文我們也提到了,SSL VPN可以僅開放一個主機、一個端口甚至一個URL,可以對不同的業(yè)務系統(tǒng)進行最小資源授權。

通過周密嚴格的認證過程和最小資源授權系統(tǒng),不僅解決了內部資源安全的問題,也解決了多租戶之間的業(yè)務訪問相互獨立和隔離的問題。

最后,我們還需要解決多租戶SSL VPN系統(tǒng)的獨立管理維護問題。這個問題也在防火墻設備的應用中出現(xiàn)過,最終通過虛擬防火墻技術得以解決。以H3C SecBlade SSL VPN的虛擬化技術為例,它支持類似虛擬防火墻技術的虛擬域技術,能夠將單一物理系統(tǒng)從邏輯上虛擬為多個獨立的虛擬門戶、提供給不同的租戶。同時出于云平臺運營管理的需要,根域可對SSL VPN設備進行基礎管理、并實現(xiàn)子域的劃分與基礎設定,而每個企業(yè)用戶可以對自己的子域進行完全獨立的配置管理。

五、 結束語

在云時代,安全接入不再是僅滿足“移動辦公和分支互聯(lián)的部分用戶”的需求,而是要滿足接入“云中心”的所有終端的共同需求。在解決了端到端的業(yè)務安全性需求之后,性能和可擴展性這兩個方面也需要重點考慮:成百倍增加的接入用戶規(guī)模,反應到SSL VPN系統(tǒng)的硬件性能上,就是遠高于傳統(tǒng)設備的業(yè)務加密吞吐能力。而隨著業(yè)務的階段性部署和持續(xù)發(fā)展,則要求設備必須具有良好的擴展性,以保證滿足云時代資源池化的基礎需求。

分享到

huanghui

相關推薦