VPN的出現(xiàn)已經(jīng)不是一朝一夕了，從IPSec到SSL，VPN經(jīng)歷了大量的技術(shù)演進。不過，任何一種安全技術(shù)的本質(zhì)都是應(yīng)用。將VPN與企業(yè)業(yè)務(wù)相結(jié)合，促進企業(yè)的邊界安全，同時將業(yè)務(wù)拓展到邊緣，整合外在供應(yīng)鏈，這將促進新一輪VPN技術(shù)的進化。
力量一：可信VPN
VPN的初衷是提供一個安全信道，以便遠程用戶可以存取私有網(wǎng)絡(luò)。但在當(dāng)前的計算環(huán)境中，對于試圖接入企業(yè)網(wǎng)絡(luò)的可管理或不可管理的設(shè)備，網(wǎng)絡(luò)管理員根本無法在其接入網(wǎng)絡(luò)前知曉它們的來源。尤其是移動VPN用戶的增多，使網(wǎng)絡(luò)上班族和頻繁出差族通過IPSec VPN客戶端軟件接入內(nèi)網(wǎng)帶來的安全隱患受到關(guān)注。
如果用戶可以從一臺主機通過VPN接入內(nèi)網(wǎng)，但主機本身不安全，如已被病毒感染或另有不安全的網(wǎng)絡(luò)連接（split tunnel）等，將對內(nèi)網(wǎng)帶來極大威脅。而且，攻擊者可以利用VPN的加密技術(shù)穿透防火墻，躲避防火墻對其行為的檢測和控制。
另外，絕大部分現(xiàn)有的內(nèi)網(wǎng)安全或者是內(nèi)網(wǎng)行為控制，僅僅考慮了內(nèi)部局域網(wǎng)的行為安全，即對局域網(wǎng)內(nèi)的主機訪問行為進行監(jiān)視和控制，還沒涉及到大規(guī)模跨地域的企業(yè)全網(wǎng)的安全問題。
事實上，Juniper的安全專家表示，由于VPN可以在公共電腦上建立，所以可能會為公司網(wǎng)絡(luò)帶來額外的風(fēng)險，這一點SSL VPN表現(xiàn)的特別明顯。另外，公共電腦可能不支持兩種以上的認證方式，因為它們自身沒有智能卡閱讀器，或直接被禁用了USB端口。
在這種情況下，一種基于VPN的可信專用網(wǎng)絡(luò)TPN（Trusted Private Network）開始出現(xiàn)。安達通的安全專家康浩在接受采訪時表示，目前TPN技術(shù)綜合了網(wǎng)關(guān)安全和通信端點安全技術(shù)，同時利用全局的統(tǒng)一管理來部署，以求實現(xiàn)全方位、多層次的安全。
據(jù)悉，在TPN系統(tǒng)中，任何一個接入網(wǎng)絡(luò)的主機都必須通過用戶驗證和主機驗證的強制驗證機制。只有在某個主機歸類為受信任主機后才可以訪問相應(yīng)的系統(tǒng)資源�；�本上，受信任意味著主機的風(fēng)險受到管理。這種受管狀態(tài)由負責(zé)配置主機的IT管理員和用戶負責(zé)。如果受信任主機管理不當(dāng)，很可能成為整個解決方案的弱點。
當(dāng)主機被視為受信任主機時，其他受信任主機可以合理地假定該主機不會發(fā)起惡意操作。例如，受信任主機應(yīng)期望其他受信任主機不會執(zhí)行攻擊它們的病毒，因為所有受信任主機都要求使用一些用來緩解病毒威脅的機制（如防病毒軟件）。
康浩強調(diào)說，這種受信任狀態(tài)不是一成不變的，它僅僅是一個過渡狀態(tài)，會隨著企業(yè)安全標(biāo)準(zhǔn)的更改而更改，并且要不斷符合那些標(biāo)準(zhǔn)。由于新的威脅和新的防御措施會不斷出現(xiàn)，因此組織的管理系統(tǒng)必須經(jīng)常檢查受信任主機，以保持與標(biāo)準(zhǔn)相符。此外，在需要時，這些系統(tǒng)必須能夠發(fā)布更新或配置更改，以幫助維持受信任狀態(tài)。持續(xù)符合所有這些安全要求的主機可被視為受信任主機。
據(jù)介紹，可信專用網(wǎng)TPN系統(tǒng)對經(jīng)過強制驗證的主機和用戶，使用“用戶----角色----資源”的授權(quán)機制，實現(xiàn)“內(nèi)網(wǎng)威脅”、“邊界威脅”、“主機威脅”和“接入威脅”的統(tǒng)一管理。據(jù)悉，角色是系統(tǒng)中用戶和服務(wù)之間溝通的樞紐，利用角色避免了用戶和服務(wù)之間的直接關(guān)聯(lián)關(guān)系，減少了配置任務(wù)量，并提高系統(tǒng)策略的可維護性。一個用戶可以分配給多個角色，每個角色包含多個用戶。針對每一個服務(wù)，可設(shè)定可以訪問該服務(wù)的各種角色。
當(dāng)企業(yè)用戶接入TPN系統(tǒng)防護的網(wǎng)絡(luò)時，首先必須進行“強制身份認證”（可采用Web方式或客戶端方式登陸TPN系統(tǒng)進行身份認證），在身份認證通過后，TPN安全網(wǎng)關(guān)中根據(jù)該用戶的資源訪問權(quán)限和登陸認證時該用戶使用的PC機的特征（IP/端口），動態(tài)在TPN安全網(wǎng)關(guān)中形成“元組+時間”的動態(tài)訪問控制策略。該動態(tài)訪問控制策略有短期時效性，當(dāng)一段時間用戶沒有活動后，該策略即行失效，需要重新進行強制身份認證，再次在TPN安全網(wǎng)關(guān)中建立針對該用戶的動態(tài)訪問控制策略。
不難看出，之所以說TPN系統(tǒng)可以實現(xiàn)更加安全的VPN，就是因為它對于通過VPN接入的移動用戶和遠地局域網(wǎng)進行類似本地用戶一樣的訪問控制。比如，當(dāng)VPN用戶在和總部的TPN安全網(wǎng)關(guān)建立起加密隧道后，總部的TPN安全網(wǎng)關(guān)能夠?qū)�遠程接入的主機進行安全評估：如果發(fā)現(xiàn)主機上有威脅或不滿足接入總部的安全級別（如沒有打補丁等），則不允許該主機接入到總部。這就是所謂的“VPN準(zhǔn)入控制”技術(shù)。
目前，企業(yè)通過應(yīng)用這種技術(shù)，可以確保外網(wǎng)的威脅（如木馬、病毒、攻擊等）不會通過VPN用戶帶進內(nèi)網(wǎng)，避免了黑客進行“跳板”攻擊。并且網(wǎng)絡(luò)管理員能夠象管理本地局域網(wǎng)一樣，對整個VPN網(wǎng)絡(luò)進行統(tǒng)一的安全策略管理，實現(xiàn)面向全網(wǎng)而不僅僅是本地局域網(wǎng)的全網(wǎng)行為管理。
此外，針對企業(yè)內(nèi)網(wǎng)的威脅防護，TPN繼承了傳統(tǒng)的內(nèi)網(wǎng)行為管理、網(wǎng)關(guān)防病毒、反垃圾郵件技術(shù)。同時，TPN將這些技術(shù)運用到整個企業(yè)網(wǎng)絡(luò)，而不是僅僅局限在局域網(wǎng)內(nèi)。因此，不論是VPN接入用戶還是本地局域網(wǎng)的接入用戶，TPN系統(tǒng)都采用 “強制身份”認證機制，沒有通過認證的用戶無法訪問任何內(nèi)/外網(wǎng)資源。
針對這種新興技術(shù)，新華人壽集團的IT經(jīng)理表示，對于大型企業(yè)，可以通過借助TPN系統(tǒng)進行VPN控制，包括可以只允許合法的、值得信任的端點設(shè)備，如業(yè)務(wù)網(wǎng)點的PC、服務(wù)器、代理人的PDA接入網(wǎng)絡(luò)，而不允許其他設(shè)備接入。而新系統(tǒng)中的“TPN網(wǎng)關(guān)”和“TPN客戶端”形成聯(lián)動防御體系，避免了依靠單一網(wǎng)關(guān)防御體系或單一客戶端防御體系形成的功能瓶頸，給企業(yè)的IT部門減輕了壓力。
事實上，神州數(shù)碼網(wǎng)絡(luò)的高級產(chǎn)品經(jīng)理王景輝曾解釋說，集中安全與分布安全的邊界是模糊的，正如保險企業(yè)一樣，公司的信息安全與代理人的信息安全同樣重要，而這才是可控VPN的魅力所在。

標(biāo)簽： ssl ssl vpn 安全 標(biāo)準(zhǔn) 防火墻 服務(wù)器 企業(yè) 權(quán)限 通信 網(wǎng)絡(luò) 問題 信息安全 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。