校園資安系列(一)SSL VPN在校園內適合扮演何種角色？

學術校園網路環境跟大部分企業網路大不同，校園適用SSL VPN嗎？

　　常常有人問：「校園為什麼要建置SSL VPN？」，實際上這是一個很好的問題，典型的學術校園環境跟大部分企業網路有極大的不同，而許多網路專家在談到學術網路時會忽視這一點。

　　討論的要點大致如下：(1)典型的大學校園網路是由行政人員、教職員、學生和任何走進校園圖書館的街頭訪客所構成的混合體，如果只循著校園範圍設置一個大型的SSL VPN系統，實際上提供不了多少保護。(2)假如使用VPN技術來提供全部的存取服務，傳輸瓶頸所造成的代價非常高昂。(3)有開放原始碼和免費下載的產品可用，我不需要為此技術購買供應商的產品。

　　最好的處理方法就是回歸基本原則：判斷在學術校園環境中建置SSL VPN技術是否跟其他安全分析有所不同？您要保護的資產價值（或是損害所產生的費用） 必須大於保護的成本（建議最好提出證明）。

　　根據亞太地區學術環境的銷售情況，了解解決方案建置規模與地點時，看起來大家似乎都有做好分析工作，將SSL VPN技術用來保護最有價值的資產。也就是說，並非循著校園範圍建置一個很大型的系統，而是在網路深處佈署（有時候多個）小型系統來保護最需要保護的東西。這類建置案通常可以容納大約50～100位同步上線用戶。

　　在過程中，他們同時防止來自校園內外的攻擊。這也是我們一直主張的以分層式防禦的方式多方保護資產。最常見保護對象是學生的資訊系統，因為從全校園各角落都需要存取和更新這些系統，所以使用實體網路設計來隔離系統並不合適。而它們也需要最高度的保護，因為其被損毀或遭竊的成本都極高。

　　保護這些系統在技術層面上的需求是非常高的，因為：(1)不論是在「誰可以看見什麼」，還是「誰可以更新什麼」，都有不同的存取等級。(2)需要有萬無一失的登錄記錄。因為當資料庫稽核記錄涵蓋此項資訊時，將確認過的存取記錄儲存在加密的平台上非常有用。(3)在某些情況下，資料保護必須符合政府的規定。(4)一些使用者需要在自己的PC上執行應用程式用戶端，有時候則需要完整的網路連線功能（如IPSec安全通道）。(5)某種終端安全性是必要的。最安全的資訊系統防護措施也會被安裝在用戶端PC的按鍵側錄軟體擊敗。

　　顯然地，只使用單純的IPSec安全通道來授予簡單的開關式二元存取功能，並無法滿足這些需求，而開放原始碼的SSL VPN產品通常也不提供這些功能。但好消息是，大概一套建構開放原始碼系統所需的價格，就可安裝一部能夠處理50～100個同時進行的工作階段的SSL VPN裝置。如果把運作費用算進去，這部裝置成本更低，功能也一定更強大。SSL VPN在校園內還有另外一個主要的應用，就是保護無線區域網路的存取。

　　我們和其他大部分的IT專家一樣，都還在學習這種SSL VPN技術適合的用途以及建置的方法。