网络安全之远程访问VPN
虚拟专用网(远程访问VPN)络设备是网络安全设备市场上的一个重要成员,但其角色已经发生了变化。企业WLAN的扩展,再加上正在消失的网络外围,都意味着VPN用户不再是“远程的”。
如今,VPN可以向任何移动设备(包括漫游的智能电话)提供公司资源的安全(经认证的、加密的)访问。从远在异地的笔记本电脑到本地的平板电脑,我们要确认安全的访问需要,并关注VPN设备如何强化自身,以满足企业日益增长的需要。
远程访问VPN的演化
二十年前,需要远程网络访问的雇员,必须拨号进入私有的Modem池。而十年前,多数单位用其基于互联网的访问代替拨号访问,它们使用的IPSec在VPN网关和客户端之间建立隧道。到2006年的时候,趋势又发生变化,SSL(安全套接字层)成为基于浏览器的“无客户端”远程访问的一种普遍选择。
如今,业界普遍认为基于SSLv3及TLSv1(传输层安全)的VPN是企业级安全的最佳实践。但在发展过程中,企业开始注重可访问性和透明性。具体而言,虽然TLS自身是一种IETF标准, VPN产品却以不同的方式使用TLS和DTLS,在端点的限制、风险与每个用户、应用程序的需要之间寻求平衡。
这种灵活性已变得日益重要,但这样同时使得产品的选择和部署变复杂了。例如,当代SSL VPN设备常常提供:
1、对有风险的端点,在访问特定的应用程序时,保障WEB入口访问的安全。
2、对多数端点而言,在访问常见的应用程序时,保障代理访问的安全。
3、对支持Java/ActiveX的端点而言,保障端口转发到应用程序的安全。
4、借助TLS或IPSec VPN客户端,保障网络通道的安全。
但这些功能如何工作,支持哪些应用程序,哪些端点可以使用,以及部署后带来的影响都千差万别。过去几年,SSL VPN的功能及其部署方式已经有了很大进步,例如,使用第三层的TLS或DTLS隧道来支持对延迟敏感的语音和多媒体应用。然而,我们仍需深入研究细节,看看某种特定设备是否满足企业需求。
IT的消费化及自带设备
SSL VPN可以减少远程访问支持的成本和复杂性。通过使用浏览器而不是客户端,SSL VPN可确保从大量端点远程访问时的安全性,包括非IT管理的家用和公用电脑。
如今,无需安装软件,就可以从任何授权的PC访问远程VPN。同样,从很多授权的智能电话或平板电脑也可以访问VPN。许多无法管理的或移动端点会受到限制,只能访问VPN入口或代理访问。
有些访问限制是由策略驱使的。为管理端点的风险,IT可以仅给予合伙人很小的访问权,只能访问很少的URL。当代的远程访问VPN可以提供这种精细的访问控制。
不过,许多限制来自于端点的操作系统或用户(缺乏)许可。TLS网络隧道倾向于要求安装VPN客户,如Win32/64和Mac OS,却鲜有iOS或Android等系统。通过TLS的端口转发通常涉及按需下载的Java或ActiveX,但ActiveX并非在哪里都可以运行,且端口转发会要求管理员权限。
而且,当今的远程访问VPN产品提供了许多可以减轻风险的特性,从预连接扫描到会话后的清理。任何考虑购买VPN来管理端点的企业都应当密切关注这些产品,看其是否满足企业需要,并评估对需要此产品的支持程度,尤其要重视策略检查。
正在消失的外围
随着移动性的增长,企业网络的外围被挤压、撕裂。在所有的端点都是远程端点时,在网络边缘部署VPN网关是很有益处的,这可以将授权的加密隧道与私有的子网或资源连接起来。但现在,端点也许将太多的时间用在这些领域:从连接局域网的网本到连接Wi-Fi的雇员智能电话的诸多方面,后面是不是应该有个结论。
这种情况如何影响到远程访问的VPN产品?对于初入此道的人来说,VPN已经被迫日益透明,从永远在线的VPN到“移动”的VPN。此外,异地的VPN已经开始融入本地的NAC,帮助企业将连续的安全访问交付给每一个用户/端点,而不管它在什么位置。
简言之,今天任何想购买远程访问VPN设备的人都应当思考更大的问题。即使在线的端点不是首先需要进行连接的,也应当在考虑移动性的前提下设计VPN架构,并且评估对策略和用户透明性的影响。最后,考虑监管需要:VPN设备控制着授权用户的访问,因而能够强化分段规则并报告其合规性。
评估标准
以此为基础,你可以确认自己对于远程访问VPN设备的需求。为应对员工们的移动性工作需要,不妨根据角色将员工分成小组。对每一个组,要全面列示其使用端点的设备种类,这些设备必须到达的应用程序类型,准许其访问的特定资源及特定条件等。
为将企业需求与个别产品的功能和特性匹配起来,首先应考虑VPN的功能。下面列举几个重要方面供参考:
认证:VPN的安全是基于认证的,最好的当然是相互认证。SSL VPN通常都支持多用户的认证方法,包括口令、智能卡、双因素令牌、证书等。许多IPSec VPN使用IKEv2来支持EAP协议所使用的任何方法。应当选择一个支持所需认证方法的设备,并与用户数据库相集成(如活动目录)。不太常见的特性包括无需重新验证的单点验证和漫游等。
加密和集成保护:安全隧道协议,如SSL、TLS、DTLS、IPSec等都对信息进行加密、集成、重播保护,有时还有来源认证等。IPSec封装安全协议(ESP)适用于第3层,可以保护整个IP包。其它协议可应用在第三层或第四层。应当选择一个可以满足企业的传输数据保护策略的设备,其中包括加密,认证和互操作性要求。
访问控制:早期的VPN设备建立隧道并将所有的通信从用户传送给网关,或仅传送目的地为私有子网的通信(即分割隧道)。SSL VPN增加了精细控制,包括对特定应用程序、URL或操作(例如,文件只读而不能写入等)的访问。此功能还在不变发生变革。单位不妨根据端点的风险、合规性或位置、基于组或角色的访问控制,选择可以支持透明适应每一个用户的策略。
端点安全控制:基于风险的多种访问类型都要求识别端点、评估其安全状态和合规性,或是上述组合。例如,如果试图从一台可管理的网本访问,检查器可以确认端点是否拥有操作系统补丁或反恶意软件。如果试图从一个智能电话访问,VPN仍可以查找IT所安装的“水印”。无论在操作系统的控制广度和深度上,这都是一个快速变化的领域。对于笔记本而言,不妨考虑数据仓库等先进功能。对移动设备而言,可关注指纹识别等服务器端技术。
入侵防御:连接前的检查很有帮助,却远远不够。为减少风险,VPN可以将很少的访问权授与有风险的端点,或运用应用全面的入侵防御来阻止恶意软件进入安全隧道。这是区分不同VPN产品的另一个要素。厂商们竞相集成安全特性,并提供更深入的功能,特别是进入80端口以强化每个应用程序的策略,并且阻止恶意活动。类似的功能有很多,从移动安全代理,到基于声誉的WEB防御,企业要注意过多的功能可能导致的价格和总成本问题。
可管理性:这是任何产品的一个重要特征,对远程访问的VPN而言这尤其重要。购买价格、维护费用、安装成本、策略变化、日常维护等都会影响到总成本,因而购买时需要注意。
高可用性和可扩展性:企业级远程访问VPN产品提供高可用性和可扩展性选项,如热同步的主动负载均衡网关。单位不但应当关注可用性和可扩展性,还应看一下许可协议。例如,那些部署远程访问VPN用于灾难恢复的单位可能需要“量入为出”的许可。
定制:远程访问VPN常常从定制中获益。这种定制的范围很广,从根据每用户/组的入口页来组织源链接,一直到为私有应用程序增加代理VPN转换。
注:以上只是当代杰出的远程访问VPN设备的许多重要功能的一个重要而非全面的清单。
远程访问VPN设备在选购设备时,企业应当根据自己的业务特点和需要,有重点地进行考查和评估,只有这样才能真正做到“有的放矢”。
【编辑推荐】