https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

校園資安系列(一)SSL VPN在校園內適合扮演何種角色?

2009 / 08 / 27
林蒲英
校園資安系列(一)SSL VPN在校園內適合扮演何種角色?
學術校園網路環境跟大部分企業網路大不同,校園適用SSL VPN嗎?

  常常有人問:「校園為什麼要建置SSL VPN?」,實際上這是一個很好的問題,典型的學術校園環境跟大部分企業網路有極大的不同,而許多網路專家在談到學術網路時會忽視這一點。

  討論的要點大致如下:(1)典型的大學校園網路是由行政人員、教職員、學生和任何走進校園圖書館的街頭訪客所構成的混合體,如果只循著校園範圍設置一個大型的SSL VPN系統,實際上提供不了多少保護。(2)假如使用VPN技術來提供全部的存取服務,傳輸瓶頸所造成的代價非常高昂。(3)有開放原始碼和免費下載的產品可用,我不需要為此技術購買供應商的產品。

  最好的處理方法就是回歸基本原則:判斷在學術校園環境中建置SSL VPN技術是否跟其他安全分析有所不同?您要保護的資產價值(或是損害所產生的費用) 必須大於保護的成本(建議最好提出證明)。

  根據亞太地區學術環境的銷售情況,了解解決方案建置規模與地點時,看起來大家似乎都有做好分析工作,將SSL VPN技術用來保護最有價值的資產。也就是說,並非循著校園範圍建置一個很大型的系統,而是在網路深處佈署(有時候多個)小型系統來保護最需要保護的東西。這類建置案通常可以容納大約50~100位同步上線用戶。

  在過程中,他們同時防止來自校園內外的攻擊。這也是我們一直主張的以分層式防禦的方式多方保護資產。最常見保護對象是學生的資訊系統,因為從全校園各角落都需要存取和更新這些系統,所以使用實體網路設計來隔離系統並不合適。而它們也需要最高度的保護,因為其被損毀或遭竊的成本都極高。

  保護這些系統在技術層面上的需求是非常高的,因為:(1)不論是在「誰可以看見什麼」,還是「誰可以更新什麼」,都有不同的存取等級。(2)需要有萬無一失的登錄記錄。因為當資料庫稽核記錄涵蓋此項資訊時,將確認過的存取記錄儲存在加密的平台上非常有用。(3)在某些情況下,資料保護必須符合政府的規定。(4)一些使用者需要在自己的PC上執行應用程式用戶端,有時候則需要完整的網路連線功能(如IPSec安全通道)。(5)某種終端安全性是必要的。最安全的資訊系統防護措施也會被安裝在用戶端PC的按鍵側錄軟體擊敗。

  顯然地,只使用單純的IPSec安全通道來授予簡單的開關式二元存取功能,並無法滿足這些需求,而開放原始碼的SSL VPN產品通常也不提供這些功能。但好消息是,大概一套建構開放原始碼系統所需的價格,就可安裝一部能夠處理50~100個同時進行的工作階段的SSL VPN裝置。如果把運作費用算進去,這部裝置成本更低,功能也一定更強大。SSL VPN在校園內還有另外一個主要的應用,就是保護無線區域網路的存取。

  我們和其他大部分的IT專家一樣,都還在學習這種SSL VPN技術適合的用途以及建置的方法。