接入網技術VPN再進化
VPN是接入網中很重要的技術之一,同時在接入網技術不斷發展的今天,VPN也在不斷的進化,滿足用戶更多的需求,給人們帶來方便快捷的網絡環境。VPN的出現已經不是一朝一夕了,從IPSec到SSL,VPN經歷了大量的技術演進。不過,任何一種安全技術的本質都是應用,將VPN與企業業務相結合,促進企業的邊界安全。同時將業務拓展到邊緣,整合外在供應鏈,這將促進新一輪VPN技術的進化。
VPN的初衷是提供一個安全信道,以便遠程用戶可以通過接入網技術訪問私有網絡。但在當前的計算環境中,對于試圖接入企業網絡的可管理或不可管理的設備,網絡管理員根本無法在其接入網絡前知曉它們的來源。
如果用戶可以從一臺主機通過VPN接入內網,但主機本身不安全,如已被病毒感染或另有不安全的網絡連接等,將對內網帶來極大威脅。另外,絕大部分現有的內網安全或者是內網行為控制,僅僅考慮了內部局域網的行為安全,即對局域網內的主機訪問行為進行監視和控制,還沒涉及到大規模跨地域的企業全網的安全問題。
事實上,Juniper的安全專家表示:由于VPN可以在公共電腦上建立,所以可能會為公司網絡帶來新的風險,這一點SSL VPN表現的特別明顯。另外,公共電腦可能不支持兩種以上的認證方式,因為它們自身沒有智能卡閱讀器,或直接被禁用了USB端口。這種情況下,一種基于VPN的可信專用網絡TPN(Trusted Private Network)開始出現。安達通的安全專家康浩在接受采訪時表示,目前TPN技術綜合了網關安全和通信端點安全技術,同時利用全局的統一管理來部署,以求實現全方位、多層次的安全。
據悉,在TPN系統中,任何一個接入網絡的主機都必須通過用戶驗證和主機驗證的強制驗證機制。只有在某個主機歸類為受信任主機后才可以訪問相應的系統資源。基本上,受信任意味著主機的風險受到管理。這種受管狀態由負責配置主機的IT管理員和用戶負責。如果受信任主機管理不當,很可能成為整個解決方案的弱點。
當主機被視為受信任主機時,其他受信任主機可以合理地假定該主機不會發起惡意操作。例如,受信任主機應期望其他受信任主機不會執行攻擊它們的病毒,因為所有受信任主機都要求使用一些用來緩解病毒威脅的機制(如防病毒軟件)。
康浩強調說,這種受信任狀態不是一成不變的,它僅僅是一個過渡狀態,會隨著企業安全標準的更改而更改,并且要不斷符合那些標準。由于新的威脅和新的防御措施會不斷出現,因此,組織的管理系統必須經常檢查受信任主機,以保持與標準相符。此外,在需要時,這些系統必須能夠發布更新或配置更改,以幫助維持受信任狀態。
據介紹,可信專用網TPN系統對經過強制驗證的主機和用戶,使用“用戶——角色——資源”的授權機制,實現“內網威脅”、“邊界威脅”、“主機威脅”和“接入網技術威脅”的統一管理。
當企業用戶接入網技術TPN系統防護的網絡時,首先必須進行“強制身份認證”(可采用Web方式或客戶端方式登錄TPN系統進行身份認證),在身份認證通過后,TPN安全網關中根據該用戶的資源訪問權限和登錄認證時該用戶使用的PC機的特征(IP/端口),動態在TPN安全網關中形成“元組+時間”的動態訪問控制策略。該動態訪問控制策略有短期時效性,當一段時間用戶沒有活動后,該策略即行失效,需要重新進行強制身份認證,再次在TPN安全網關中建立針對該用戶的動態訪問控制策略。
不難看出,之所以說TPN系統可以實現更加安全的VPN,就是因為它對于通過VPN接入網技術的移動用戶和遠地局域網進行類似本地用戶一樣的訪問控制。比如,當VPN用戶在和總部的TPN安全網關建立起加密隧道后,總部的TPN安全網關能夠對遠程接入網技術的主機進行安全評估:如果發現主機上有威脅或不滿足接入總部的安全級別(如沒有打補丁等),則不允許該主機接入到總部。這就是所謂的“VPN準入控制”技術。目前,企業通過應用這種技術,可以確保外網的威脅(如木馬、病毒、攻擊等)不會通過VPN用戶帶進內網,避免了黑客進行“跳板”攻擊。并且網絡管理員能夠像管理本地局域網一樣,對整個VPN網絡進行統一的安全策略管理,實現面向全網而不僅僅是本地局域網的全網行為管理。
此外,針對企業內網的威脅防護,TPN繼承了傳統的內網行為管理、網關防病毒、反垃圾郵件技術。同時,TPN將這些技術運用到整個企業網絡,而不是僅僅局限在局域網內。因此,不論是VPN接入用戶還是本地局域網的接入用戶,TPN系統都采用 “強制身份”認證機制,沒有通過認證的用戶無法訪問任何內/外網資源。
針對這種新興技術,新華人壽集團的IT經理表示,對于大型企業,可以通過借助TPN系統進行VPN控制,包括可以只允許合法的、值得信任的端點設備,如業務網點的PC、服務器、代理人的PDA接入網技術網絡,而不允許其他設備接入。而新系統中的“TPN網關”和“TPN客戶端”形成聯動防御體系,避免了依靠單一網關防御體系或單一客戶端防御體系形成的功能瓶頸,給企業的IT部門減輕了壓力。神州數碼網絡的高級產品經理王景輝曾解釋說,集中安全與分布安全的邊界是模糊的,正如保險企業一樣,公司的信息安全與代理人的信息安全同樣重要,而這才是可控VPN的魅力所在。
【編輯推薦】
