組織正在重新修正策略以滿足行動式工作環境的挑戰。
當工作團隊越來越行動化與多樣化,組織就必須面對提供非傳統與未受管理裝置一個安全遠端存取管道的挑戰。今日,有三分之二以上的企業為了管理可攜式電腦而使用了傳統的VPN。但是大部分的這些企業也正在進行一場艱難的戰爭,阻止受感染的可攜式電腦透過VPN來滲透內部網路,而且其中只有極少數的企業針對行動手持設備擁有完整的策略。.
透過企業間的整併擴張了應用程式的廣度,許多公司發現他們必須重新翻修那些已經不在滿足需求的策略。單單只是將旅行工作者連接上公司網路不再足夠或者能被接受。目前有許多新的產品和應用來降低風險和填補缺陷,從瀏覽器形式暨行動VPN到端點安全與身分為基礎的網路存取控制(Identity-based network access control)。
從技術面來看,企業可以使用各種裝置以及連線在任何時候提供適當的資源給任意人存取。但是從策略面來看,企業該如何決定哪一個新的應用才是最切合企業的目標的呢?
對於美國佛蒙特州諾威治大學(Norwich university)來說,這是一個漸進式的過程。該大學使用半打的各式平台來提供遠端存取服務給800位教職員工與2000名學生。 「我們面對的安全挑戰是很龐大的,我們必須能夠提供各種水準的支援以及應用存取,」 Norwich的網路管理師Richard Quelch說。 「我們使用過的每一項產品都會針對不同的應用類型提供良好的連線功能,沒有任何單一項的產品可以完成所有的工作。」
最後,諾威治組合了多項產品,SonicWALL的Aventail、 Citrix Systems的NetScaler以及Cisco Systems的ASA來提供遠端存取能力。終端點在進行存取之前會先被掃描過然後受到Cisco MARS的監控。「我認為我們已經達到了我們所要求的水準,」Quelch說。「這是一個偉大的里程碑我們可以對使用者的連線進行限制並記錄他們的行為。我們現在提供了更加的存取能力,讓更多的應用被人們使用,同時也讓他們更加的安全。
一體不適用(ONE SIZE DOES NOT FIT ALL)
諾威治的發展過程僅適用於擁有各式人員的大型組織。對於那些擁有像是數據機群(MODEM pool)與IPsec VPN早期遠端存取解決方案的小型同質性的團體來說,最終還是要面對擴充性、可用性以及成本的考量。
「一開始我們使用了撥接伺服器,而且還只允許員工存取而不是提供給學生使用,」Quelch說。 「然後我們增加了一個Cisco VPN讓管理者可以遠端進行系統管理。當時問題小,好支援。」
諾威治在擴展該IPsec VPN給需要進行資料庫存取的員工和在蠻荒地帶透過衛星進行網際網路連線的人員使用時遇到問題。「該機制變成累贅且難以維護。該VPN用戶端無法良好的和Active Directory、登入腳本程式(login scripts)、印表機與已連結裝置(mapped drives)進行互動,」Quelch說。
為了解決這些問題,諾威治佈署了一個Aventail SSL VPN。 「這真的很棒,因為我們只需要給使用者一個網址和登入帳號與密碼就夠了,」Quelch闡述。不需要在使用者端安裝任何軟體的狀況下,大學還是可以強制所有的遠端使用者利用Active Directory的認證來使用加密的網際網路通道。「這個SSL VPN讓我們可以提供更多額外的連線,連線到像是分享裝置這類的資源,以及提供像是病毒的防護等更多的功能選擇。」
但是新興技術通常都是為了解決單一的IT問題而被開發,因此也產生了其他的限制。例如當SSL VPN的使用量增加,管理成本也會相對的增加。「我們曾經使用過Aventail所有的三種存取方式,」 Quelch說。 「如果要安裝用戶端軟體就必須擁有管理者權限。隨用下載的用戶端(download-on-demand client)經常會發生中斷。而一般的SSL session卻被限制在只能在擁有GUI介面的應用程式上使用。」
當大學開始發展網站應用時佈署了Citrix NetScaler,而這項產品在只需要開放兩個通訊埠的狀況下就可以透過安全的網站入口存取到舊式非網站型的應用程式。雖然這些入口網站可以將GUI應用程式的介面呈現給使用者,但是還是無法提供像是Oracle資料庫這類用戶端/伺服器應用程式的存取給使用者。
遠端與本地端的結合(REMOTE & LOCAL CONVERGENCE)
當公司開始佈署無線區域網路並在網路中運行身分為基礎(identity-based)的存取控制時,區分「本地端(local)」和「遠端(remote)」之間的界線就開始變得模糊了。本地端使用者不再是永久的連在網路上也不再是可被信任的,而遠端的使用者不再忠於單一廠牌的裝置。當使用者會在一天之內從內部去到外部又回到內部,遵守相同的策略就變得是必要的。
這也是為何諾威治最後決定擴展Cisco NAC的能力搭配Cisco適應性安全平台(Adaptive Security Appliance;ASA)來進行本地端區域網路安全的原因。這個適應性安全平台整合了Cisco的NAC代理程式在單一的裝置上提供了防火牆、入侵預防系統以及IPsec/SSL VPN服務 。 諾威治計畫將需求無法被Aventail或 NetScaler所滿足的使用者搬移到適應性安全平台為基礎的(ASA-based) VPN上,並使用NAC來減輕使用IPsec VPN通道所帶來的高風險。
「對於那些需要連線到Oracle、管理系統或者已連結裝置的使用者來說正是需要適應性安全平台,」 Quelch解釋。「那些只是要進行電子郵件或者管理網頁的使用者就可以很簡單的透過NetScaler 或者Aventail SSL VPN來被支援。」 接近3,000名的員工和學生都是透過NetScaler或者Aventail在進行連線,只有50位使用者才需要使用適應性安全平台。
「我們無法控制人們所使用的主機是來自於哪裡,但是透過Cisco NAC我們可以自動關閉他們的存取。我們也可以強制安裝Windows 2000/XP/Vista的修補程式,」 Quelch說。但是Cisco NAC一樣會有它先天上的限制。「因為並沒有Linux版的Cisco代理程式,所以我們僅提供網站認證。而且NAC也無法安裝所有最新的病毒防護軟體,因此我們僅列出並使用四種防毒軟體,」 Quelch說。
不管使用者是利用哪種方式連線到諾威治的網路,Cisco MARS會監控所有的行為。「過去這是缺乏的一塊—紀錄追蹤誰連線到哪裡。現在我們可以記錄安全問題以及發現的攻擊行為。如果某人曾經進行過非法行為,我們可以回追他們做過什麼,」 Quelch說。
提供行動化(ENABLING MOBILITY)
和諾威治一樣,美國印第安那州漢米敦郡(Hamilton County)的政府部門也大肆修改他們的遠端存取系統來有效並有用的去支援大量成長的需求。不過漢米敦的舊式IPsec VPN卻是面臨另一個不同的議題時發生了問題—開始行動化(mobile)後。
「一切是從警長辦公室開始,」 漢米敦郡四位管理者中的其中一員Jeremy Hunt說。 「警官需要在警車中取得更多資訊才能做出更佳的決定。在了解到我們需要提供連線到警長辦公室新系統的存取時,我們就開始尋找可以替每一個人提供最佳存取的解決方案。」
今日,漢米敦郡使用NetMotion Wireless來支援行動裝置的存取,而且不只可以存取警官辦公室也可以支援警察、消防員、衛生安官(health inspectors)、檢察官與建築安官(building inspectors)的存取。這個行動VPN大約是在兩年前部署的而且已經受到廣泛性的使用。「我們已經可以發出200個用戶端而且我們也正在擴展可以發出的用戶端數量。以前,我們因為成本的問題所以無法針對太多使用者來提供解決方案,但是現在我們已經可以支援多數使用者了,並且讓他們存取到不同的系統」 Hunt說。
最初,行動警官使用者是使用Verizon Wireless AirCard透過訊框傳訊介接(frame relay backhaul)連線到辦公室。 「它安裝不易而且還必須要求特殊的使用者知識。它僅適用於某一個應用程式。它還會將Verizon Wireless連線開放到網際網路上,這也產生了一個安全問題。還有用戶端必須使用靜態IP,這也是進行組態時的噩夢,」 Hunt說。
其它的郡辦公室一開始是使用更傳統的遠端存取。 「最初我們是使用撥接來進入我們的大型主機,」網路管理者Mike Carter說。「我們對廠商和律師也支援使用類比數據機。最後我們使用了其他的平台,啟用Cisco 3005 [IPsec] VPN。」
該郡過去使用RSA SecurID token(權仗)進行認證。「當越來越多的使用者想要進行存取的時候,成本就是一項問題,」管理者Chris Kuner說。對於以權仗為基礎的VPN用戶端的支援也是一項很嚴重的問題。 「我們以每周的頻率來協助使用者進行安裝。使用者必須先連線到網際網路上然後再執行VPN用戶端,這對他們來說也是一項困擾。而且如果使用者的電腦不安全的時候,誰知道他們會將什麼東西帶進我們的網路中。」
增進通透性(IMPROVING TRANSPARENCY)
:該郡的NetMotion伺服器在一天內就被安裝起來。現在已經使用網域(Domain)認證來取代權仗,而且管理者也表示使用者認為用戶端非常的有透通性(transparent)。
「這就好像是在登入您的桌面一樣,不論您是在家裡或是熱點(hotspot)上網,」Kuner說。「NetMotion會選擇最快的連線。當您拔除網路並前往執勤,您並不需要關閉您的應用程式或者重新啟動NetMotion。您可以關閉您的可攜式電腦回家度周末,並且在週一登入桌面之後,您的連線依然會存在。」
依據Hunt的看法,session persistence已經有了很大的改進。不論連線是因為電腦當機或者更換網路而遺失,行動VPN可以避免通道連線中斷和使用者干擾。「當車子失去訊號的時候我們還是會發生死區(dead spots)的狀況。 NetMotion會持續運行該應用不會中斷,可是VPN用戶端則會拋棄通道而且使用者必須重新啟動他們的VPN、應用程式等等的一切。」
佈署NetMotion之後,該郡開始思考使用行動VPN的新方法。「例如,食品安全官可以在到達被檢視場所完成他們的檢查之後,立即在被檢視場所完成他們的報告並印出報表,」Carter說。
一開始的時候,NetMotion的使用者在要求進行網頁登入的公眾網路上遇到問題。該郡便撰寫設定檔(Profile)來預防這樣的狀況並且還購買NetMotion的 Mobility XE Policy Management Module來進行更細部的存取控制。「不同於讓VPN用戶可以毫無限制的存取我們的網路,我們可以根據不同的群組對於不同的系統給予不一樣的存取權限,」Hunt說。
漢米敦目前還是有使用舊型的Cisco 3005,但是重新定義了該VPN專門負責廠商/管理者存取與站點至站點的通道(site-to-site tunnels)。律師則被轉換到被稱為Doxpop的供應者組成的入口網站(provider-hosted Web portal)。 「這讓我們可以脫離於體制之外,因此我們就不再需要去支援律師了,」Carter說。
該郡正在計畫他們的下一步,包含去除重複的伺服器以及虛擬化伺服器讓災難復原的工作變得更簡單。 雖然工作還在進行中,不過整個小組很滿意這個新的策略。 「對於這個新的策略我們得到比過去工作更多的正面回應,」 Carter說。 「甚至有舊式VPN的使用者自動交還權杖並要求轉換到NetMotion。」
簡化擴充性(FACILITATING EXPANSION)
對於能源控制產品的全球性製造商Intermatic來說,由於企業的合併與組織擴張驅使著公司必須更新它的遠端存取系統。
「我們曾經歷包含新產品開發與進入全球市場的痛苦過度期。我們所取得的公司不是已經有自己的基礎建設不然就是需要我們去建立新的基礎建設。」 Intermatic資深專案暨技術經理Pete Revel說。「最大的挑戰就是找出該地的整合者並與他合作。我們必須放棄傳統的遠端存取方式—使用防火牆來建立B2B 與B2E通道—因為我們對於效能以及能授與誰存取權限有太多的限制。」
為了進行中央控管並且滿足大多數的工作任務需求,Intermatic在今年將數據機群和Cisco 3005 VPN轉換到Juniper SA4000 SSL VPN。 「最後大約會有一千名員工利用它來進行存取,」Revel說。「現在我們大約已經有250名的使用者。」
該SA4000已經成為Intermatic主要的遠端存取方式。「您只需要拿取已經和後端重要企業應用程式整合的裝置就可以在全世界各處被服務,」 Revel說。「現在,我們可以馬上替新使用者建立帳號,指定他到連線到正確的頁面,他就可以進入系統中。只要我們已經將使用者所需要的應用程式整合進系統中,我們可以在一個小時內讓某人使用到他要求的功能。」
整合(INTEGRATION)
當使用SSL VPN來授與存取的時候應用程式的整合將會是導致成功或失敗的關鍵之一。 許多的SSL VPN裝置已經出同時提供免用戶端與專用用戶端存取的模式來支援各式各樣的應用程式、裝置與使用者。
Intermatic選擇SA4000是因為它可以使用動態下載的Juniper Security Application Management (SAM)程式碼透過SSL通道來轉向應用程式的流量。Linux 或者MacOS的用戶端是使用Java SAM,而Windows用戶端則使用JSAM或Windows ActiveX SAM。
「SAM 提供一個統一的用戶端來整合我們的後端系統—例如,AS400應用程式擁有5350個終端機模擬程式,」Revel解釋。 「SAM提供使用者一個輕量版的後端應用程式。我樂見SAM越來越茁壯,不過在不需要安裝VPN用戶端的狀況下它還是提供了許多的幫助。如果您讓新使用者使用輕量版的用戶端,那麼您的成功率將會提高許多。」
Intermatic在世界各地的員工可以在任意地點登入到SA4000,透過Active Directory取得認証並且瀏覽大型主機應用程式,以及提供每一個使用者客製化的介面。在每一個連線被接受之前,Juniper的Host Checker會被觸發並且對使用者的裝置進行病毒掃描、最新修補程式檢查以及其他各式各樣的安全保護機制。
除了SAM之外,Intermatic還使用了另一個遠端存取的方法。當IBM iSeries此類老舊的用戶端應用程式提出網路層通道的要求時,就會使用Juniper Network Connect用戶端來滿足這些需求。與沒有VPN存取權限的商業夥伴進行合作的時候會使用Juniper Secure Meeting來分享桌面。
Intermatic是Juniper的用戶,不過也有使用F5 Networks的FirePass SSL VPN 裝置來存取Agile Software的Product Lifecycle Management應用程式(Oracle在今年已經將Agile收購了)。「F5會使用SSL協定來運行HTTP讓Agile是以安全的網站模式進行運行,」Revel說。使用者可以利用Agile的網頁界面或者是下載Java Agile用戶端來進行互動。
未來發展(EVOLUTION)
Intermatic、諾威治以及漢米敦郡都是使用相同的老舊平台,但是在更新遠端存取的時候卻選擇了不同的方案。工作團隊、應用程式、商業目標以及廠商效能都影響了他們的決定。不過,再他們的選擇中還是有一些共同的觀點。
不使用單一的遠端存取解決方案。利用組合式的平台來滿足各項不同的應用、使用者與裝置。所有的組織都是想盡辦法來降低複雜性,來達成降低管理者成本或是簡化使用者經驗。以及所有的組織都是透過細微的過濾以及/或者終端點掃瞄來進行安全的強化—在文章中有兩個案例就是透過NAC。
在未來,遠端存取將會受到網路電話、視訊會議以及4G無線網路的影響。採用越來越寬闊的網路存取控制,網路邊界會持續的式微,將每一個人轉換成為遠端的使用者。由於這些的改變將會需要更好的解決方案。如同上述公司的情形,您最佳的遠端存取策略可能不會雷同於本文所舉的例子而是您自己所發展出來的獨特策略。