圖1 常見的加密VPN應用場景

三、 云時代的遠程安全接入的變化

云計算主要傳輸通道是互聯(lián)網(wǎng)，這也是惡意攻擊經(jīng)常發(fā)生的地方。用戶能夠放心的把企業(yè)和個人資料存放于云上，不僅需要法律法規(guī)約束云服務商不會查看到 用戶信息，更需要可靠的安全技術手段來提高用戶對云計算環(huán)境的安全信心。云時代的安全接入挑戰(zhàn)與傳統(tǒng)安全有何不同呢?在傳統(tǒng)遠程安全接入需求的基礎上，云 時代所帶來的核心需求變化體現(xiàn)在如下兩個方面：

l 多租戶帶來的安全問題。不同用戶之間相互隔離，避免相互影響。云時代，需要通過技術杜絕在云端用戶“越界”的可能。不僅企業(yè)與企業(yè)之間要實現(xiàn)相互隔離，部 門與部門之間、終端用戶與終端用戶之間也要實現(xiàn)相互隔離。只有能夠提供粒度細至每個用戶的獨立安全通道，才能夠從技術上解決多租戶環(huán)境給企業(yè)安全管理人員 帶來的困擾。

l 采用第三方平臺帶來的安全問題。服務提供商管理人員的實際權限將是非?，F(xiàn)實的問題，運維管理人員必須在經(jīng)過企業(yè)內部系統(tǒng)管理員充分授權的情況下，才能夠登 錄和訪問企業(yè)的后臺管理系統(tǒng)。相應的，每個租戶/企業(yè)也必須擁有獨立、隔離的管理維護系統(tǒng)，以保證業(yè)務系統(tǒng)管理的獨立性和自主性。

四、 “云端互聯(lián)”涉及的遠程安全接入

傳統(tǒng)遠程安全接入技術，主要是指“跨Internet”的安全訪問，如分支互聯(lián)和移動辦公的業(yè)務應用;而在云時代，尤其是在私有云的應用場景，雖然 部分終端向云的接入不再經(jīng)過Internet，但在數(shù)據(jù)集中計算和存儲的背景下，共用網(wǎng)絡平臺引入了新的“私密性”和“用戶鑒權”的安全需求，由此，云時 代的遠程安全接入主要是指“跨共用網(wǎng)絡平臺”的安全訪問，包含“云端互聯(lián)”和“云間互聯(lián)”兩個方面(如圖2所示)。

圖2 云端互聯(lián)與云間互聯(lián)示意圖

“云間互聯(lián)”本質上是解決兩個數(shù)據(jù)中心的互聯(lián)互通問題，因此前文所提的兩個核心需求變化對“云間互聯(lián)”的應用場景并無影響。其相關的技術關注點與傳統(tǒng)的分支互聯(lián)在安全性上并無差別、僅僅是對設備性能和可靠性提出了更高的要求。本文不再贅述。

我們重點對“云端互聯(lián)”場景進行分析。前文已介紹，“云端互聯(lián)”的安全接入包含“接入終端安全、傳輸通道安全、內部資源安全”三個方面，而我們選擇的SSL VPN技術能夠很好的解決傳輸通道安全問題。那么在接入終端安全、內部資源安全方面，該如何解決?是否也能夠通過SSL VPN技術實現(xiàn)?

答案是肯定的。首先，業(yè)界常見的SSL VPN設備均能夠提供終端安全檢查功能，其基于內置控件可以對接入終端的安全性進行檢查，檢查內容包括進程、文件、瀏覽器及補丁版本、殺毒軟件及病毒庫版本、操作系統(tǒng)及補丁版本等。同時，SSL VPN可以根據(jù)終端安全檢查級別進行資源分級授權，即系統(tǒng)可以根據(jù)終端安全檢查的結果、向終端下發(fā)相應的資源訪問權限。由此，接入終端的安全性問題得到了很好的解決。

內部資源安全的問題又如何解決?內部資源的安全性問題，從本質上講是一個鑒權的問題，只要保證通過最小授權原則、將相應的資源授權給相應的用戶，內部資源的安全問題就在安全接入層面得到了保障。SSL VPN在傳統(tǒng)“用戶名+密碼”認證的基礎上，同時支持證書認證、動態(tài)口令認證、短信認證等多重認證方式，并能夠提供“用戶名+證書”、“證書+動態(tài)口令”等組合認證方式，保證認證過程的周密嚴格。同時，前文我們也提到了，SSL VPN可以僅開放一個主機、一個端口甚至一個URL，可以對不同的業(yè)務系統(tǒng)進行最小資源授權。

通過周密嚴格的認證過程和最小資源授權系統(tǒng)，不僅解決了內部資源安全的問題，也解決了多租戶之間的業(yè)務訪問相互獨立和隔離的問題。

最后，我們還需要解決多租戶SSL VPN系統(tǒng)的獨立管理維護問題。這個問題也在防火墻設備的應用中出現(xiàn)過，最終通過虛擬防火墻技術得以解決。以H3C SecBlade SSL VPN的虛擬化技術為例，它支持類似虛擬防火墻技術的虛擬域技術，能夠將單一物理系統(tǒng)從邏輯上虛擬為多個獨立的虛擬門戶、提供給不同的租戶。同時出于云平臺運營管理的需要，根域可對SSL VPN設備進行基礎管理、并實現(xiàn)子域的劃分與基礎設定，而每個企業(yè)用戶可以對自己的子域進行完全獨立的配置管理。

五、 結束語

在云時代，安全接入不再是僅滿足“移動辦公和分支互聯(lián)的部分用戶”的需求，而是要滿足接入“云中心”的所有終端的共同需求。在解決了端到端的業(yè)務安全性需求之后，性能和可擴展性這兩個方面也需要重點考慮：成百倍增加的接入用戶規(guī)模，反應到SSL VPN系統(tǒng)的硬件性能上，就是遠高于傳統(tǒng)設備的業(yè)務加密吞吐能力。而隨著業(yè)務的階段性部署和持續(xù)發(fā)展，則要求設備必須具有良好的擴展性，以保證滿足云時代資源池化的基礎需求。

附錄：H3C云安全接入方案的特點

H3C的云安全接入方案主要由SecBlade SSL VPN業(yè)務網(wǎng)關、SecCenter安全管理中心兩部分構成。

高性能的硬件加密

H3C SecBlade SSL VPN模塊基于高性能的專用加密芯片，單板加密吞吐能夠達到2Gbps、最大10000并發(fā)用戶的業(yè)界領先水平;同時，通過在一個交換機/路由器機框中集成多塊SecBlade SSL VPN板卡，能夠實現(xiàn)SSL VPN加密吞吐量的線性疊加，提供單設備整機最高32Gbps、160000并發(fā)用戶的高加密吞吐能力。

對于IPsec VPN來說同樣如此，H3C不僅通過SecBlade Ⅱ/SecBlade Ⅲ FW單板提供高性能的IPsecVPN接入能力，更能夠通過在一個機框中集成多塊SecBlade，有效提升整機的IPsecVPN處理能力。

層次化的智能彈性擴展

H3C SecBlade SSL VPN不僅能夠通過在一個交換機/路由器機框中集成多塊板卡來實現(xiàn)業(yè)務的彈性擴展，更能夠結合H3C IRF技術，實現(xiàn)多臺機架式設備的整體彈性擴展。

虛擬門戶技術

H3C SecBlade SSL VPN的虛擬化技術，實現(xiàn)單板128個獨立可管理的虛擬域，每個子域相當于邏輯的獨立的VPN網(wǎng)關，根域可對VPN設備進行基礎管理，并實現(xiàn)子域的劃分與基礎設定，而每個企業(yè)用戶可以對自己的域進行配置管理，而不同企業(yè)用戶擁有完全隔離的資源訪問體系。

安全嚴格的認證和授權

H3C SecBlade SSL VPN在傳統(tǒng)“用戶名+密碼”認證的基礎上，同時支持證書認證、動態(tài)口令認證、短信認證等多重認證方式，并能夠提供“用戶名+證書”、“證書+動態(tài)口令”等組合認證方式，保證認證過程的周密嚴格。

在資源授權方面，整個資源授權主要包含兩個方面：身份授權和終端安全授權。身份授權基于身份認證，在身份認證的基礎上給出用戶對應可訪問的授權資源 列表;而終端安全授權則是根據(jù)管理員預設的安全級別，在對終端進行安全檢查、匹配相應安全級別之后，給出的相應授權資源。二者是相互結合的，一個用戶所能 獲取到的資源不僅取決于用戶的身份，同時取決于用戶接入終端的安全狀態(tài)。

完善的安全訪問審計

當安全接入系統(tǒng)布署在云端之后，管理員需要一個工具，提供安全接入系統(tǒng)的訪問審計，以保證對整個接入系統(tǒng)安全狀態(tài)的有效管理。

通過部署H3C SecCenter安全管理中心，能夠從接入用戶的訪問記錄、管理員的操作記錄和歷史記錄的趨勢分析三個維度，為管理員提供全面細致的安全接入系統(tǒng)訪問審計。

wanglin