由Check Point Software和 Juniper Networks提供的证据表明,以SSL(Secure Sockets Layer SSL加密套接字协议层)为基础的VPN(virtual private networks虚拟专用网络)对信息安全的需求越来越大。如果要见识这个问题是如何一个大人物,那我们就只能请教基地在Erie Pa的SVHS(Saint Vincent Health System ,Saint Vincent 健康体系)的网络经理 Steve Smith了。
他将以这样的叙述开始。一个拥有1650个员工的机构,员工广泛分布在25个部门——包括主校区,一个在纽约的单独的医院,四个人造卫星修复办公室,一个门诊中心和20个在外的医生办公室。此时要去管理一个这个机构中的一个以IPsec(Internet Protocol Security网际协议安全)为基础的VPN,你可以想象,这将会是多么的疯狂的一件事。
“我过去要在充满各种各样的不安全的远程连接的地方工作。”Smith说,“那时候在一个月内我们的VPN从0个涨到了10个。我们一直设法让在外面的用户拥有全部的安全访问的权利。”
他说使用IPsec的麻烦就是当用户基地扩大的时候,它管理起来将会变得极度的复杂和昂贵。当更多的医生办公室寻求VPN连接的时候,防火墙将会变得越来越混乱。IT职员要迫使自己成为一个专家,来搞清楚第三方在使用的任何技术,什么东西将花费你额外的时间和金钱。
他说当SVHS发明了SSL这种方法以后,所有的痛苦就烟消云散了。
SSL VS IPsec
IPSec VPN是在网络第三层的一个技术,这个技术在远程站点和共同网之间提供了一个安全的通道。他需要以主机为基础的客户机程序以及在中央区的昂贵硬件。日常进行中的各种结构维护和账户管理也是一个沉重的负担。在使用IPSec VPN的时候,用户拥有所有的办公功能,在访问控制方面却几乎没有间隔。访问通常是允许或者被拒绝,而大部分共享的网络资源对于任何用户来说都是可以获得的。
Smith的公司是Check Point的消费者,他表示这里的头痛之事并不只是仅限于第三方的用户。
“我们有一组8个放射学家,他们并不愿意一天24个小时待在那里工作。”Smith说,“他们希望能够在家里也能进行工作。在SSL出现以前,我们的解决方法是在他们住宅外面装上一个防火墙/VPN连接口,这样他们就可以获取我们医院的图像了。起初,这种方法很奏效。但是然后我们就拥有太多的防火墙要管理,太多的编码需要去升级。我们必须给外面的承包人付钱让他们去那些地方,升级编码以及检修故障。”
相比之下,SSL VPN在网络第四层到网络第七层之间工作并且不需要下载客户机程序。远程的连接是通过网络浏览器或者一个可下载的Java或ActiveX代理来完成。安全管理人员可以给每个用户和应用软件分配一个以角色为基础的访问权限,而且客户管理也可省去不要。
Smith最喜欢后面的一个特色。“我们可以撤掉防火墙或者让用户们保持按他们自己的意图去办事!”他说,“只要用户能够满足某种基线标准,他们就可以使用(SSL)。”
如果现在医生的办公室或者在家工作的员工需要通过VPN访问,所有Smith需要做的就是去判定如果要顺利的工作他们需要什么样水平的访问并且给他们分配一个最合适的访问文件夹。如果用户的访问需求和已有的文件夹并不匹配,他可以轻而易举的建立一个新的文件夹。
随着需求的增长,供应商也要做出相应的回应
像Check Point和Juniper这样的供应商看到了有着日益壮大的一大群用户和Smith一样对SSL VPN有着极大的热情。上个礼拜,他们生产出了大量的新产品来满足这饥渴的需求者。
基地在Redwood市Calif的Check Point公司宣布即将发布Connectra NGX,——一种SSL VPN技术的改良版本。在Check Point的网站上,Check Point把Connectra描述成“一个有着完整端点安全的完全网络安全大门,它可以用来防卫不安全的端点。它有着综合的应用程序的安全性来提供保护,防卫那些对SSL VPN恶意的活动和攻击”
基地在Sunnyvale,Calif的Juniper Networks宣布通过即时虚拟外联网(Instant Virtual Extranet ,简称IVE)5.0软件这个新版本的出现,Secure Access 和 Remote Access SSL VPN这两个应用程序有了很大的完善。除了发布它的Network Connect的下一代产品和进一步提高的端点补救能力,这个新软件给动态的XML提供了重写和Java程序传送基础构件(Java Applet Delivery Infrastructure),Juniper的SSL VPN生产线管理主任Vivian Ganitsky这样评论道。
“人们发现SSL要更加的细化”她说,“通过使用SSL,消费者在决定谁能够得到使用权这方面会有更大的回旋余地,如果一个用户从机场那面登陆,虽然它是一个不可靠的网络,但是你可以控制他们可以访问什么。如果有你和一个合作者在做生意,你可以不给他们所有的访问权限。IPsec给了他们所有的访问权限,而这通常是你所不想看到的。”
Carmi Levi是另一个Check Point客户Zim Integrated Shipping Services的网络和通讯组的经理,该公司基地在Tel Aviv, 拥有3000个员工,广泛分布在以色列,欧洲,非洲,维吉尼亚(Virginia)和香港。他说,当涉及到办公室以外的地方使用的时候, IPsec就会发生很多问题。“对用户来说,它是不透明的。”他说。 从另一方面来看,他也表示:“通过因特网的SSL则有更好的适用性。它是一个可以去任何地方的VPN。它更加灵活,也更加值得信赖。”
IPsec正在灭亡?
尽管对SSL VPN充满着溢美之词,但你也不要希望那些IPsec连接会一下子走下灭亡。用户和供应商同样都相信,尽管大部分的公司都已经接受了SSL,但是他们仍然会继续使用IPsec,并且理由也很充分。
“到目前为止, 我觉得与其说这两种技术是相互排斥的,还不如说是相互补充的:两种协议都对保卫远程访问的用户提供了一个有效的解决方案,并且各自有它各自的优点。” Zim Shipping’的信息安全官员Itay Yanovski通过e-mail表达了他的看法,“在我们的机构,我们同时使用IPsec和SSL VPN。作为公司的安全官员,我不会放弃任何一个。”
Ganitsky表示许多Juniper的消费者也抱有同样的想法。她说因此公司最新的产品检查设计的目的就是让公司同时使用IPsec和SSL VPN起来更加容易。
“IPsec最大的优点就是它是一个快速传输的模式。”她说,“对于要快速访问VoIP和screaming media,,或者迅捷地访问网络层的条款,IPsec将是非常理想的。”
但是在许多公司仍然在同时使用IPsec和SSL VPN,Forrester Research分析家Rob Whiteley相信大部分公司最终还是会放弃IPsec,继而全部使用SSL。
“我们正处在一个过渡的阶段。”他在接受Information Security杂志(SearchSecurity.com的姐妹刊物)的访问时说道,“我们将会看到更多的SSL配置
他建议企业要评估一下他们的应用软件,保证他们的VPN计划的内部能力。他说,我们要对SSL VPN做出详尽的评估,对于不用网页激活的特殊应用程序,我们仍可保持使用IPsec。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
Accenture公司的Tammy Moskites探讨CISO职位变化
首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]