圖1 常見的加密VPN應(yīng)用場景

三、 云時(shí)代的遠(yuǎn)程安全接入的變化

云計(jì)算主要傳輸通道是互聯(lián)網(wǎng)，這也是惡意攻擊經(jīng)常發(fā)生的地方。用戶能夠放心的把企業(yè)和個(gè)人資料存放于云上，不僅需要法律法規(guī)約束云服務(wù)商不會(huì)查看到 用戶信息，更需要可靠的安全技術(shù)手段來提高用戶對云計(jì)算環(huán)境的安全信心。云時(shí)代的安全接入挑戰(zhàn)與傳統(tǒng)安全有何不同呢?在傳統(tǒng)遠(yuǎn)程安全接入需求的基礎(chǔ)上，云 時(shí)代所帶來的核心需求變化體現(xiàn)在如下兩個(gè)方面：

l 多租戶帶來的安全問題。不同用戶之間相互隔離，避免相互影響。云時(shí)代，需要通過技術(shù)杜絕在云端用戶“越界”的可能。不僅企業(yè)與企業(yè)之間要實(shí)現(xiàn)相互隔離，部 門與部門之間、終端用戶與終端用戶之間也要實(shí)現(xiàn)相互隔離。只有能夠提供粒度細(xì)至每個(gè)用戶的獨(dú)立安全通道，才能夠從技術(shù)上解決多租戶環(huán)境給企業(yè)安全管理人員 帶來的困擾。

l 采用第三方平臺(tái)帶來的安全問題。服務(wù)提供商管理人員的實(shí)際權(quán)限將是非?，F(xiàn)實(shí)的問題，運(yùn)維管理人員必須在經(jīng)過企業(yè)內(nèi)部系統(tǒng)管理員充分授權(quán)的情況下，才能夠登 錄和訪問企業(yè)的后臺(tái)管理系統(tǒng)。相應(yīng)的，每個(gè)租戶/企業(yè)也必須擁有獨(dú)立、隔離的管理維護(hù)系統(tǒng)，以保證業(yè)務(wù)系統(tǒng)管理的獨(dú)立性和自主性。

四、 “云端互聯(lián)”涉及的遠(yuǎn)程安全接入

傳統(tǒng)遠(yuǎn)程安全接入技術(shù)，主要是指“跨Internet”的安全訪問，如分支互聯(lián)和移動(dòng)辦公的業(yè)務(wù)應(yīng)用;而在云時(shí)代，尤其是在私有云的應(yīng)用場景，雖然 部分終端向云的接入不再經(jīng)過Internet，但在數(shù)據(jù)集中計(jì)算和存儲(chǔ)的背景下，共用網(wǎng)絡(luò)平臺(tái)引入了新的“私密性”和“用戶鑒權(quán)”的安全需求，由此，云時(shí) 代的遠(yuǎn)程安全接入主要是指“跨共用網(wǎng)絡(luò)平臺(tái)”的安全訪問，包含“云端互聯(lián)”和“云間互聯(lián)”兩個(gè)方面(如圖2所示)。

圖2 云端互聯(lián)與云間互聯(lián)示意圖

“云間互聯(lián)”本質(zhì)上是解決兩個(gè)數(shù)據(jù)中心的互聯(lián)互通問題，因此前文所提的兩個(gè)核心需求變化對“云間互聯(lián)”的應(yīng)用場景并無影響。其相關(guān)的技術(shù)關(guān)注點(diǎn)與傳統(tǒng)的分支互聯(lián)在安全性上并無差別、僅僅是對設(shè)備性能和可靠性提出了更高的要求。本文不再贅述。

我們重點(diǎn)對“云端互聯(lián)”場景進(jìn)行分析。前文已介紹，“云端互聯(lián)”的安全接入包含“接入終端安全、傳輸通道安全、內(nèi)部資源安全”三個(gè)方面，而我們選擇的SSL VPN技術(shù)能夠很好的解決傳輸通道安全問題。那么在接入終端安全、內(nèi)部資源安全方面，該如何解決?是否也能夠通過SSL VPN技術(shù)實(shí)現(xiàn)?

答案是肯定的。首先，業(yè)界常見的SSL VPN設(shè)備均能夠提供終端安全檢查功能，其基于內(nèi)置控件可以對接入終端的安全性進(jìn)行檢查，檢查內(nèi)容包括進(jìn)程、文件、瀏覽器及補(bǔ)丁版本、殺毒軟件及病毒庫版本、操作系統(tǒng)及補(bǔ)丁版本等。同時(shí)，SSL VPN可以根據(jù)終端安全檢查級(jí)別進(jìn)行資源分級(jí)授權(quán)，即系統(tǒng)可以根據(jù)終端安全檢查的結(jié)果、向終端下發(fā)相應(yīng)的資源訪問權(quán)限。由此，接入終端的安全性問題得到了很好的解決。

內(nèi)部資源安全的問題又如何解決?內(nèi)部資源的安全性問題，從本質(zhì)上講是一個(gè)鑒權(quán)的問題，只要保證通過最小授權(quán)原則、將相應(yīng)的資源授權(quán)給相應(yīng)的用戶，內(nèi)部資源的安全問題就在安全接入層面得到了保障。SSL VPN在傳統(tǒng)“用戶名+密碼”認(rèn)證的基礎(chǔ)上，同時(shí)支持證書認(rèn)證、動(dòng)態(tài)口令認(rèn)證、短信認(rèn)證等多重認(rèn)證方式，并能夠提供“用戶名+證書”、“證書+動(dòng)態(tài)口令” 等組合認(rèn)證方式，保證認(rèn)證過程的周密嚴(yán)格。同時(shí)，前文我們也提到了，SSL VPN可以僅開放一個(gè)主機(jī)、一個(gè)端口甚至一個(gè)URL，可以對不同的業(yè)務(wù)系統(tǒng)進(jìn)行最小資源授權(quán)。

通過周密嚴(yán)格的認(rèn)證過程和最小資源授權(quán)系統(tǒng)，不僅解決了內(nèi)部資源安全的問題，也解決了多租戶之間的業(yè)務(wù)訪問相互獨(dú)立和隔離的問題。

最后，我們還需要解決多租戶SSL VPN系統(tǒng)的獨(dú)立管理維護(hù)問題。這個(gè)問題也在防火墻設(shè)備的應(yīng)用中出現(xiàn)過，最終通過虛擬防火墻技術(shù)得以解決。以H3C SecBlade SSL VPN的虛擬化技術(shù)為例，它支持類似虛擬防火墻技術(shù)的虛擬域技術(shù)，能夠?qū)我晃锢硐到y(tǒng)從邏輯上虛擬為多個(gè)獨(dú)立的虛擬門戶、提供給不同的租戶。同時(shí)出于云平臺(tái)運(yùn)營管理的需要，根域可對SSL VPN設(shè)備進(jìn)行基礎(chǔ)管理、并實(shí)現(xiàn)子域的劃分與基礎(chǔ)設(shè)定，而每個(gè)企業(yè)用戶可以對自己的子域進(jìn)行完全獨(dú)立的配置管理。

五、 結(jié)束語

在云時(shí)代，安全接入不再是僅滿足“移動(dòng)辦公和分支互聯(lián)的部分用戶”的需求，而是要滿足接入“云中心”的所有終端的共同需求。在解決了端到端的業(yè)務(wù)安全性需求之后，性能和可擴(kuò)展性這兩個(gè)方面也需要重點(diǎn)考慮：成百倍增加的接入用戶規(guī)模，反應(yīng)到SSL VPN系統(tǒng)的硬件性能上，就是遠(yuǎn)高于傳統(tǒng)設(shè)備的業(yè)務(wù)加密吞吐能力。而隨著業(yè)務(wù)的階段性部署和持續(xù)發(fā)展，則要求設(shè)備必須具有良好的擴(kuò)展性，以保證滿足云時(shí)代資源池化的基礎(chǔ)需求。

huanghui