云時代的遠程安全接入

一、 安全接入所涵蓋的需求范圍

一個基于網絡的安全解決方案，必然是一個端到端的安全體系架構。也就是說，在進行初始的網絡安全解決方案設計時，我們就必須考慮到各個環節可能引入的安全威脅和風險。因此，安全接入所涵蓋的需求范圍，不應是單指接入終端的安全性，而是一個涉及到“接入終端安全、傳輸通道安全、內部資源安全”的完整安全體系。

能夠完整實現上述安全體系的接入技術，可以是一種技術，也可以是多種技術的組合。比如在“接入終端安全”方面，我們可以通過終端準入控制、終端安全管理等技術來實現，而在“內部資源安全”方面，我們可以選擇結合網絡域認證進行資源授權等方式來完成。但對于“傳輸通道安全”，尤其在Internet環境，在無法對業務訪問的沿途節點進行技術要求和部署時，我們可選擇的技術并不多，通常只能是：“加密的VPN通道”。

二、 IPsec VPN和SSL VPN

IPsec VPN和SSL VPN，兩者的共同特點一是都能實現數據的安全加密；二是都對沿途轉發節點沒有額外技術要求。但是，由于兩者在技術上采用不同的網絡層次來進行安全加密處理以建立網絡安全通道，因此在連通性、安全性方面還是存在著差異。

? IPsec VPN，是網絡層的VPN技術，對應用層協議完全透明，一旦建立IPsec VPN加密隧道后，就可以在通道內實現各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等這是IPsec VPN的最大優點。另外，IPsec VPN在實際部署時，通常向遠端開放的是一個網段，針對單個主機、單個傳輸層端口的安全控制部署較復雜，因此其安全控制的粒度相對較粗。

? SSL VPN，基于SSL 協議，而SSL協議內嵌在瀏覽器中，因此任何擁有瀏覽器的終端都天然支持SSL VPN，這讓SSL VPN技術在瘦終端日益普及的云時代如魚得水。同時，SSL協議位于TCP/IP協議與應用層協議之間，其安全控制粒度可以做到精細化，可以僅開放一個主機、一個端口甚至一個URL。但相應的，其應用兼容性整體上則更弱一些。SSL VPN相對于IPsec VPN的另外一個核心優勢在于：無需增加設備、無需改動接入側的網絡結構即可實現安全接入。這非常適用于租賃型的云計算應用場景，比如：超算中心。

由于IPsec VPN和SSL VPN各自不同的技術特點，在實際部署中，IPsec VPN技術通常部署于站點對站點（site to site）模式的安全互聯場景，而SSL VPN技術則更多的用于終端對站點（client to site）的應用場景。相應的，IPsec VPN技術要求兩端網絡出口成對部署IPsec VPN網關，而SSL VPN技術則要求核心網絡部署SSL VPN網關、接入端采用集成SSL協議的瀏覽器即可（如圖1所示）。

三、 云時代的遠程安全接入的變化

云計算主要傳輸通道是互聯網，這也是惡意攻擊經常發生的地方。用戶能夠放心的把企業和個人資料存放于云上，不僅需要法律法規約束云服務商不會查看到用戶信息，更需要可靠的安全技術手段來提高用戶對云計算環境的安全信心。云時代的安全接入挑戰與傳統安全有何不同呢？在傳統遠程安全接入需求的基礎上，云時代所帶來的核心需求變化體現在如下兩個方面：

? 多租戶帶來的安全問題。不同用戶之間相互隔離，避免相互影響。云時代，需要通過技術杜絕在云端用戶“越界”的可能。不僅企業與企業之間要實現相互隔離，部門與部門之間、終端用戶與終端用戶之間也要實現相互隔離。只有能夠提供粒度細至每個用戶的獨立安全通道，才能夠從技術上解決多租戶環境給企業安全管理人員帶來的困擾。

? 采用第三方平臺帶來的安全問題。服務提供商管理人員的實際權限將是非常現實的問題，運維管理人員必須在經過企業內部系統管理員充分授權的情況下，才能夠登錄和訪問企業的后臺管理系統。相應的，每個租戶/企業也必須擁有獨立、隔離的管理維護系統，以保證業務系統管理的獨立性和自主性。

四、 “云端互聯”涉及的遠程安全接入

傳統遠程安全接入技術，主要是指“跨Internet”的安全訪問，如分支互聯和移動辦公的業務應用；而在云時代，尤其是在私有云的應用場景，雖然部分終端向云的接入不再經過Internet，但在數據集中計算和存儲的背景下，共用網絡平臺引入了新的“私密性”和“用戶鑒權”的安全需求，由此，云時代的遠程安全接入主要是指“跨共用網絡平臺”的安全訪問，包含“云端互聯”和“云間互聯”兩個方面（如圖2所示）。

“云間互聯”本質上是解決兩個數據中心的互聯互通問題，因此前文所提的兩個核心需求變化對“云間互聯”的應用場景并無影響。其相關的技術關注點與傳統的分支互聯在安全性上并無差別、僅僅是對設備性能和可靠性提出了更高的要求。本文不再贅述。

我們重點對“云端互聯”場景進行分析。前文已介紹，“云端互聯”的安全接入包含“接入終端安全、傳輸通道安全、內部資源安全”三個方面，而我們選擇的SSL VPN技術能夠很好的解決傳輸通道安全問題。那么在接入終端安全、內部資源安全方面，該如何解決？是否也能夠通過SSL VPN技術實現？

答案是肯定的。首先，業界常見的SSL VPN設備均能夠提供終端安全檢查功能，其基于內置控件可以對接入終端的安全性進行檢查，檢查內容包括進程、文件、瀏覽器及補丁版本、殺毒軟件及病毒庫版本、操作系統及補丁版本等。同時，SSL VPN可以根據終端安全檢查級別進行資源分級授權，即系統可以根據終端安全檢查的結果、向終端下發相應的資源訪問權限。由此，接入終端的安全性問題得到了很好的解決。

內部資源安全的問題又如何解決？內部資源的安全性問題，從本質上講是一個鑒權的問題，只要保證通過最小授權原則、將相應的資源授權給相應的用戶，內部資源的安全問題就在安全接入層面得到了保障。SSL VPN在傳統“用戶名+密碼”認證的基礎上，同時支持證書認證、動態口令認證、短信認證等多重認證方式，并能夠提供“用戶名+證書”、“證書+動態口令”等組合認證方式，保證認證過程的周密嚴格。同時，前文我們也提到了，SSL VPN可以僅開放一個主機、一個端口甚至一個URL，可以對不同的業務系統進行最小資源授權。

通過周密嚴格的認證過程和最小資源授權系統，不僅解決了內部資源安全的問題，也解決了多租戶之間的業務訪問相互獨立和隔離的問題。

最后，我們還需要解決多租戶SSL VPN系統的獨立管理維護問題。這個問題也在防火墻設備的應用中出現過，最終通過虛擬防火墻技術得以解決。以H3C SecBlade SSL VPN的虛擬化技術為例，它支持類似虛擬防火墻技術的虛擬域技術，能夠將單一物理系統從邏輯上虛擬為多個獨立的虛擬門戶、提供給不同的租戶。同時出于云平臺運營管理的需要，根域可對SSL VPN設備進行基礎管理、并實現子域的劃分與基礎設定，而每個企業用戶可以對自己的子域進行完全獨立的配置管理。

五、 結束語

在云時代，安全接入不再是僅滿足“移動辦公和分支互聯的部分用戶”的需求，而是要滿足接入“云中心”的所有終端的共同需求。在解決了端到端的業務安全性需求之后，性能和可擴展性這兩個方面也需要重點考慮：成百倍增加的接入用戶規模，反應到SSL VPN系統的硬件性能上，就是遠高于傳統設備的業務加密吞吐能力。而隨著業務的階段性部署和持續發展，則要求設備必須具有良好的擴展性，以保證滿足云時代資源池化的基礎需求。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]