VPN是接入网中很重要的技术之一,同时在接入网技术不断发展的今天,VPN也在不断的进化,满足用户更多的需求,给人们带来方便快捷的网络环境。VPN的出现已经不是一朝一夕了,从IPSec到SSL,VPN经历了大量的技术演进。不过,任何一种安全技术的本质都是应用,将VPN与企业业务相结合,促进企业的边界安全。同时将业务拓展到边缘,整合外在供应链,这将促进新一轮VPN技术的进化。
VPN的初衷是提供一个安全信道,以便远程用户可以通过接入网技术访问私有网络。但在当前的计算环境中,对于试图接入企业网络的可管理或不可管理的设备,网络管理员根本无法在其接入网络前知晓它们的来源。
如果用户可以从一台主机通过VPN接入内网,但主机本身不安全,如已被病毒感染或另有不安全的网络连接等,将对内网带来极大威胁。另外,绝大部分现有的内网安全或者是内网行为控制,仅仅考虑了内部局域网的行为安全,即对局域网内的主机访问行为进行监视和控制,还没涉及到大规模跨地域的企业全网的安全问题。
事实上,Juniper的安全专家表示:由于VPN可以在公共电脑上建立,所以可能会为公司网络带来新的风险,这一点SSL VPN表现的特别明显。另外,公共电脑可能不支持两种以上的认证方式,因为它们自身没有智能卡阅读器,或直接被禁用了USB端口。这种情况下,一种基于VPN的可信专用网络TPN(Trusted Private Network)开始出现。安达通的安全专家康浩在接受采访时表示,目前TPN技术综合了网关安全和通信端点安全技术,同时利用全局的统一管理来部署,以求实现全方位、多层次的安全。
据悉,在TPN系统中,任何一个接入网络的主机都必须通过用户验证和主机验证的强制验证机制。只有在某个主机归类为受信任主机后才可以访问相应的系统资源。基本上,受信任意味着主机的风险受到管理。这种受管状态由负责配置主机的IT管理员和用户负责。如果受信任主机管理不当,很可能成为整个解决方案的弱点。
当主机被视为受信任主机时,其他受信任主机可以合理地假定该主机不会发起恶意操作。例如,受信任主机应期望其他受信任主机不会执行攻击它们的病毒,因为所有受信任主机都要求使用一些用来缓解病毒威胁的机制(如防病毒软件)。
康浩强调说,这种受信任状态不是一成不变的,它仅仅是一个过渡状态,会随着企业安全标准的更改而更改,并且要不断符合那些标准。由于新的威胁和新的防御措施会不断出现,因此,组织的管理系统必须经常检查受信任主机,以保持与标准相符。此外,在需要时,这些系统必须能够发布更新或配置更改,以帮助维持受信任状态。
据介绍,可信专用网TPN系统对经过强制验证的主机和用户,使用“用户——角色——资源”的授权机制,实现“内网威胁”、“边界威胁”、“主机威胁”和“接入网技术威胁”的统一管理。
当企业用户接入网技术TPN系统防护的网络时,首先必须进行“强制身份认证”(可采用Web方式或客户端方式登录TPN系统进行身份认证),在身份认证通过后,TPN安全网关中根据该用户的资源访问权限和登录认证时该用户使用的PC机的特征(IP/端口),动态在TPN安全网关中形成“元组+时间”的动态访问控制策略。该动态访问控制策略有短期时效性,当一段时间用户没有活动后,该策略即行失效,需要重新进行强制身份认证,再次在TPN安全网关中建立针对该用户的动态访问控制策略。
不难看出,之所以说TPN系统可以实现更加安全的VPN,就是因为它对于通过VPN接入网技术的移动用户和远地局域网进行类似本地用户一样的访问控制。比如,当VPN用户在和总部的TPN安全网关建立起加密隧道后,总部的TPN安全网关能够对远程接入网技术的主机进行安全评估:如果发现主机上有威胁或不满足接入总部的安全级别(如没有打补丁等),则不允许该主机接入到总部。这就是所谓的“VPN准入控制”技术。目前,企业通过应用这种技术,可以确保外网的威胁(如木马、病毒、攻击等)不会通过VPN用户带进内网,避免了黑客进行“跳板”攻击。并且网络管理员能够像管理本地局域网一样,对整个VPN网络进行统一的安全策略管理,实现面向全网而不仅仅是本地局域网的全网行为管理。
此外,针对企业内网的威胁防护,TPN继承了传统的内网行为管理、网关防病毒、反垃圾邮件技术。同时,TPN将这些技术运用到整个企业网络,而不是仅仅局限在局域网内。因此,不论是VPN接入用户还是本地局域网的接入用户,TPN系统都采用 “强制身份”认证机制,没有通过认证的用户无法访问任何内/外网资源。
针对这种新兴技术,新华人寿集团的IT经理表示,对于大型企业,可以通过借助TPN系统进行VPN控制,包括可以只允许合法的、值得信任的端点设备,如业务网点的PC、服务器、代理人的PDA接入网技术网络,而不允许其他设备接入。而新系统中的“TPN网关”和“TPN客户端”形成联动防御体系,避免了依靠单一网关防御体系或单一客户端防御体系形成的功能瓶颈,给企业的IT部门减轻了压力。神州数码网络的高级产品经理王景辉曾解释说,集中安全与分布安全的边界是模糊的,正如保险企业一样,公司的信息安全与代理人的信息安全同样重要,而这才是可控VPN的魅力所在。
【编辑推荐】