圖1 常見的加密VPN應(yīng)用場景

三、 云時代的遠(yuǎn)程安全接入的變化

云計(jì)算主要傳輸通道是互聯(lián)網(wǎng)，這也是惡意攻擊經(jīng)常發(fā)生的地方。用戶能夠放心的把企業(yè)和個人資料存放于云上，不僅需要法律法規(guī)約束云服務(wù)商不會查看到 用戶信息，更需要可靠的安全技術(shù)手段來提高用戶對云計(jì)算環(huán)境的安全信心。云時代的安全接入挑戰(zhàn)與傳統(tǒng)安全有何不同呢?在傳統(tǒng)遠(yuǎn)程安全接入需求的基礎(chǔ)上，云 時代所帶來的核心需求變化體現(xiàn)在如下兩個方面：

l 多租戶帶來的安全問題。不同用戶之間相互隔離，避免相互影響。云時代，需要通過技術(shù)杜絕在云端用戶“越界”的可能。不僅企業(yè)與企業(yè)之間要實(shí)現(xiàn)相互隔離，部 門與部門之間、終端用戶與終端用戶之間也要實(shí)現(xiàn)相互隔離。只有能夠提供粒度細(xì)至每個用戶的獨(dú)立安全通道，才能夠從技術(shù)上解決多租戶環(huán)境給企業(yè)安全管理人員 帶來的困擾。

l 采用第三方平臺帶來的安全問題。服務(wù)提供商管理人員的實(shí)際權(quán)限將是非?，F(xiàn)實(shí)的問題，運(yùn)維管理人員必須在經(jīng)過企業(yè)內(nèi)部系統(tǒng)管理員充分授權(quán)的情況下，才能夠登 錄和訪問企業(yè)的后臺管理系統(tǒng)。相應(yīng)的，每個租戶/企業(yè)也必須擁有獨(dú)立、隔離的管理維護(hù)系統(tǒng)，以保證業(yè)務(wù)系統(tǒng)管理的獨(dú)立性和自主性。

四、 “云端互聯(lián)”涉及的遠(yuǎn)程安全接入

傳統(tǒng)遠(yuǎn)程安全接入技術(shù)，主要是指“跨Internet”的安全訪問，如分支互聯(lián)和移動辦公的業(yè)務(wù)應(yīng)用;而在云時代，尤其是在私有云的應(yīng)用場景，雖然 部分終端向云的接入不再經(jīng)過Internet，但在數(shù)據(jù)集中計(jì)算和存儲的背景下，共用網(wǎng)絡(luò)平臺引入了新的“私密性”和“用戶鑒權(quán)”的安全需求，由此，云時 代的遠(yuǎn)程安全接入主要是指“跨共用網(wǎng)絡(luò)平臺”的安全訪問，包含“云端互聯(lián)”和“云間互聯(lián)”兩個方面(如圖2所示)。

圖2 云端互聯(lián)與云間互聯(lián)示意圖

“云間互聯(lián)”本質(zhì)上是解決兩個數(shù)據(jù)中心的互聯(lián)互通問題，因此前文所提的兩個核心需求變化對“云間互聯(lián)”的應(yīng)用場景并無影響。其相關(guān)的技術(shù)關(guān)注點(diǎn)與傳統(tǒng)的分支互聯(lián)在安全性上并無差別、僅僅是對設(shè)備性能和可靠性提出了更高的要求。本文不再贅述。

我們重點(diǎn)對“云端互聯(lián)”場景進(jìn)行分析。前文已介紹，“云端互聯(lián)”的安全接入包含“接入終端安全、傳輸通道安全、內(nèi)部資源安全”三個方面，而我們選擇的SSL VPN技術(shù)能夠很好的解決傳輸通道安全問題。那么在接入終端安全、內(nèi)部資源安全方面，該如何解決?是否也能夠通過SSL VPN技術(shù)實(shí)現(xiàn)?

答案是肯定的。首先，業(yè)界常見的SSL VPN設(shè)備均能夠提供終端安全檢查功能，其基于內(nèi)置控件可以對接入終端的安全性進(jìn)行檢查，檢查內(nèi)容包括進(jìn)程、文件、瀏覽器及補(bǔ)丁版本、殺毒軟件及病毒庫版本、操作系統(tǒng)及補(bǔ)丁版本等。同時，SSL VPN可以根據(jù)終端安全檢查級別進(jìn)行資源分級授權(quán)，即系統(tǒng)可以根據(jù)終端安全檢查的結(jié)果、向終端下發(fā)相應(yīng)的資源訪問權(quán)限。由此，接入終端的安全性問題得到了很好的解決。

內(nèi)部資源安全的問題又如何解決?內(nèi)部資源的安全性問題，從本質(zhì)上講是一個鑒權(quán)的問題，只要保證通過最小授權(quán)原則、將相應(yīng)的資源授權(quán)給相應(yīng)的用戶，內(nèi)部資源的安全問題就在安全接入層面得到了保障。SSL VPN在傳統(tǒng)“用戶名+密碼”認(rèn)證的基礎(chǔ)上，同時支持證書認(rèn)證、動態(tài)口令認(rèn)證、短信認(rèn)證等多重認(rèn)證方式，并能夠提供“用戶名+證書”、“證書+動態(tài)口令”等組合認(rèn)證方式，保證認(rèn)證過程的周密嚴(yán)格。同時，前文我們也提到了，SSL VPN可以僅開放一個主機(jī)、一個端口甚至一個URL，可以對不同的業(yè)務(wù)系統(tǒng)進(jìn)行最小資源授權(quán)。

通過周密嚴(yán)格的認(rèn)證過程和最小資源授權(quán)系統(tǒng)，不僅解決了內(nèi)部資源安全的問題，也解決了多租戶之間的業(yè)務(wù)訪問相互獨(dú)立和隔離的問題。

最后，我們還需要解決多租戶SSL VPN系統(tǒng)的獨(dú)立管理維護(hù)問題。這個問題也在防火墻設(shè)備的應(yīng)用中出現(xiàn)過，最終通過虛擬防火墻技術(shù)得以解決。以H3C SecBlade SSL VPN的虛擬化技術(shù)為例，它支持類似虛擬防火墻技術(shù)的虛擬域技術(shù)，能夠?qū)我晃锢硐到y(tǒng)從邏輯上虛擬為多個獨(dú)立的虛擬門戶、提供給不同的租戶。同時出于云平臺運(yùn)營管理的需要，根域可對SSL VPN設(shè)備進(jìn)行基礎(chǔ)管理、并實(shí)現(xiàn)子域的劃分與基礎(chǔ)設(shè)定，而每個企業(yè)用戶可以對自己的子域進(jìn)行完全獨(dú)立的配置管理。

五、 結(jié)束語

在云時代，安全接入不再是僅滿足“移動辦公和分支互聯(lián)的部分用戶”的需求，而是要滿足接入“云中心”的所有終端的共同需求。在解決了端到端的業(yè)務(wù)安全性需求之后，性能和可擴(kuò)展性這兩個方面也需要重點(diǎn)考慮：成百倍增加的接入用戶規(guī)模，反應(yīng)到SSL VPN系統(tǒng)的硬件性能上，就是遠(yuǎn)高于傳統(tǒng)設(shè)備的業(yè)務(wù)加密吞吐能力。而隨著業(yè)務(wù)的階段性部署和持續(xù)發(fā)展，則要求設(shè)備必須具有良好的擴(kuò)展性，以保證滿足云時代資源池化的基礎(chǔ)需求。

附錄：H3C云安全接入方案的特點(diǎn)

H3C的云安全接入方案主要由SecBlade SSL VPN業(yè)務(wù)網(wǎng)關(guān)、SecCenter安全管理中心兩部分構(gòu)成。

高性能的硬件加密

H3C SecBlade SSL VPN模塊基于高性能的專用加密芯片，單板加密吞吐能夠達(dá)到2Gbps、最大10000并發(fā)用戶的業(yè)界領(lǐng)先水平;同時，通過在一個交換機(jī)/路由器機(jī)框中集成多塊SecBlade SSL VPN板卡，能夠?qū)崿F(xiàn)SSL VPN加密吞吐量的線性疊加，提供單設(shè)備整機(jī)最高32Gbps、160000并發(fā)用戶的高加密吞吐能力。

對于IPsec VPN來說同樣如此，H3C不僅通過SecBlade Ⅱ/SecBlade Ⅲ FW單板提供高性能的IPsecVPN接入能力，更能夠通過在一個機(jī)框中集成多塊SecBlade，有效提升整機(jī)的IPsecVPN處理能力。

層次化的智能彈性擴(kuò)展

H3C SecBlade SSL VPN不僅能夠通過在一個交換機(jī)/路由器機(jī)框中集成多塊板卡來實(shí)現(xiàn)業(yè)務(wù)的彈性擴(kuò)展，更能夠結(jié)合H3C IRF技術(shù)，實(shí)現(xiàn)多臺機(jī)架式設(shè)備的整體彈性擴(kuò)展。

虛擬門戶技術(shù)

H3C SecBlade SSL VPN的虛擬化技術(shù)，實(shí)現(xiàn)單板128個獨(dú)立可管理的虛擬域，每個子域相當(dāng)于邏輯的獨(dú)立的VPN網(wǎng)關(guān)，根域可對VPN設(shè)備進(jìn)行基礎(chǔ)管理，并實(shí)現(xiàn)子域的劃分與基礎(chǔ)設(shè)定，而每個企業(yè)用戶可以對自己的域進(jìn)行配置管理，而不同企業(yè)用戶擁有完全隔離的資源訪問體系。

安全嚴(yán)格的認(rèn)證和授權(quán)

H3C SecBlade SSL VPN在傳統(tǒng)“用戶名+密碼”認(rèn)證的基礎(chǔ)上，同時支持證書認(rèn)證、動態(tài)口令認(rèn)證、短信認(rèn)證等多重認(rèn)證方式，并能夠提供“用戶名+證書”、“證書+動態(tài)口令”等組合認(rèn)證方式，保證認(rèn)證過程的周密嚴(yán)格。

在資源授權(quán)方面，整個資源授權(quán)主要包含兩個方面：身份授權(quán)和終端安全授權(quán)。身份授權(quán)基于身份認(rèn)證，在身份認(rèn)證的基礎(chǔ)上給出用戶對應(yīng)可訪問的授權(quán)資源 列表;而終端安全授權(quán)則是根據(jù)管理員預(yù)設(shè)的安全級別，在對終端進(jìn)行安全檢查、匹配相應(yīng)安全級別之后，給出的相應(yīng)授權(quán)資源。二者是相互結(jié)合的，一個用戶所能 獲取到的資源不僅取決于用戶的身份，同時取決于用戶接入終端的安全狀態(tài)。

完善的安全訪問審計(jì)

當(dāng)安全接入系統(tǒng)布署在云端之后，管理員需要一個工具，提供安全接入系統(tǒng)的訪問審計(jì)，以保證對整個接入系統(tǒng)安全狀態(tài)的有效管理。

通過部署H3C SecCenter安全管理中心，能夠從接入用戶的訪問記錄、管理員的操作記錄和歷史記錄的趨勢分析三個維度，為管理員提供全面細(xì)致的安全接入系統(tǒng)訪問審計(jì)。

wanglin