中小企業SSL VPN採購經驗談

中小企業將快速發展
中小企業（SME）是今日全球經濟體中成長最快的領域之一。隨著知識經濟的問世，以及Internet被廣泛用於大量資料存取與通訊。使得中小企業更有機會在特定領域裡能與大公司一較長短。此外，中小型企業可在市場風向轉變時迅速反應，並隨著新的市場態勢調整經營模式，因此每當全球市場出現變化時，中小企業便能夠發揮絕佳的彈性及敏捷度，以快速開發、生產並提供服務。



遠端存取趨勢
隨著Internet的使用蓬勃發展，過去要取得資訊十分耗時費力，現在任何人都可透過網路隨時取得大量資訊。從前只有大公司才能透過專人、專線或撥接上網的方式，即時地與供應商、客戶、遠端員工或行動工作者進行溝通；今天，所有公司都可利用Internet，並藉由虛擬私人網路（Virtual Private Networks，VPN）相互通訊。VPN經由Internet這類公眾網路收送私人資料，並支援LAN的安全性。遠端與行動工作者可透過VPN技術進行點對點（site-to-site）連線和資料存取。利用網路層或IPSec VPN進行點對點連線早已行之有年，因為此一技術原本就是用來處理這類連線。今天，各種規模的公司，特別是中小企業，其遠端與行動工作者的人數越來越多，因此最困難的挑戰便是，如何滿足這些員工各不相同的動態存取需求。

IDC Home Office計畫的資深分析師Merle Sandler表示：「IDC估計，到2003年底，美國約有890萬名居家工作者（指一個月在家工作三天以上的員工）。」中小企業在這方面有大幅成長。此外，Infonetics Research指出：「在2002年，有24%的小型企業、37%的中型企業，及60%的大型企業佈建了遠端連線VPN；到2007年，這些數字將分別提高為55%、74%及 94%。」這份統計資料顯示，遠端連線的需求從2002年以來呈現二倍以上的成長。

然而，因為成本、使用便利性及日常維護等方面的考量，適用於大公司的遠端存取方案，不見得就能立即應用於大多數的中小企業。



整體建置成本
相較於其它費用，設備採購成本的問題是最容易搞定的。META Group資深計畫主持人Mark Bouchard說：「對中小企業而言，5000美元以下的遠端存取方案是蠻理想的價位。」然而，這只不過是採購費用而已，還不包含遠端存取方案之建置成本及後續維護費。所有專供遠端存取之IPSec VPN方案，都必須將採購、建置及維護費用一併納入考量。最近一期Network World引用一封強烈建議使用IPSec 連線的讀者投書：「…即使是未受過技術訓練的使用者，也可使用VPN建立點對點連線。」這是因為IPSec VPN可在使用者毫不察覺的情況下，透過遠端企業之閘道器與區域網路閘道器進行點對點連線。這位讀者接著提到使用IPSec VPN跟遠端使用者連線的情形：「當不具科技背景的遠端使用者試圖透過用戶端軟體進行連線時，常會搞得手忙腳亂的。安裝用戶端軟體、教會使用者執行該軟體，以及維護斷線等工作，其代價遠比這套軟體的定價還高。」

2004年7月號Network Computing Asia的報導指出：「小型企業與大型企業都同樣重視成本效益，只是中小企業無法像大型企業一般，擁有足以支援行動通訊的基礎設施。舉例而言，如欲提供一台供行動工作者使用之訊息或協同運作伺服器，大企業只需把這台伺服器放在機房中，交由訓練有素的 IT 管理員來管理即可，讓遠端使用者能夠輕鬆地進行安全連線；中小企業可就沒有這麼好命了。至少，有些大公司平日用來支援行動通訊的方案，根本不提供適合中小企業使用的精簡版本，因此中小型企業必須另闢蹊徑。」

即使小型企業現在都很嫻熟最新科技―在沒有IT部門支援的情況下，可以自行使用電腦跟客戶連線、追蹤存貨狀況，或是管理訂單。然而，如果想要佈建、安裝及設定IPSec VPN以供遠端存取，便需要懂得此技術的專業人員。一旦發生問題，包含NAT、防火牆或代理伺服器等問題，必須有專人協助使用者解決問題。此外，當底層網路拓樸架構改變、用戶端作業系統變更，或是改變用戶端軟體時，同樣也需要專門的維護人員為遠端使用者更新用戶端VPN軟體。此外，公司每新增一位使用者，也會加重網路支援的負擔。



安全性
安全性是另一個重要的考量。遠端使用者可透過IPSec VPN通道連進企業內部區域網路，通道本身是經過加密而且安全的，但若連線的另一端開放給外部人員使用時，這種安全設計便會變得毫無意義。在進行點對點連線時，通常VPN連線的雙方都彼此熟識，可是遠端使用者透過通道連進企業網路卻不是這麼回事。用來執行遠端存取之網路層VPN，其主要安全考量已經從擔心企業網路的資料可能被移除，轉變為有些不肖份子會透過VPN連線在VPN通道中傳送一些惡意訊息。

中小企業對安全問題頗感困擾，特別是這些公司多半沒有配置IT人員。有些小公司認為自己不會是攻擊者覬覦的目標，可是時下很多威脅都是透過Internet網路傳遞，並沒有設定什麼特定目標。精心設計的病毒、木馬程式及蠕蟲，例如CodeRed或是Nimda，可以從任何地方入侵。由於大企業有專屬的資安人員維護整體安全性，反而使得小公司成為易於下手的目標；況且只要一個小小的安全漏洞，就足以毀掉一家小公司。根據Microsoft的資料，小型企業平均一年發生6次的安全事故，有20%的IT預算都用來解決安全問題。小公司投入於安全防護上的資源相當龐大，如果中小企業無法雇用自己的資安人員，則需挑選內含安全防護機制的遠端存取解決方案。



挑選遠端存取方案的準則
在評估遠端存取方案時，中小企業應特別考慮下幾點：功能需求，亦即此方案是否可讓使用者存取所需的資源；總花費，包含採購、安裝、維護及新增使用者等所有費用；安全性，包含終端用戶、資料及內部伺服器的安全性；以及未來擴充性。

1. 功能需求

．應解決中小企業原先採購此一解決方案所希望解決的問題

．必須與中小企業使用之所有協定相容

．即使非科技背景的員工也知道該如何使用

．盡量減少重新設定網路的情形

2. 總擁有成本的考量

．採購金額 ．日常維護

．使用者訓練 ．使用者支援（協助與諮詢）

．新增遠端使用者時，所投入之時間成本及軟硬體支出

3. 安全性

．必須將傳輸資料加密

．應遵循安全政策，特別是用戶端

．必須善用現有安全措施，如認證伺服器、安全政策或應用程式

．需提供額外的網路安全性

4. 擴充性

．必須滿足中小企業目前之遠端存取需求

．應滿足中小企業未來之遠端存取需求



SSL VPN 簡介
除了使用Internet外，SSL VPN還充分發揮某些內建協定的優勢，特別是SSL。SSL原先是為了保護線上金融交易而設計的，也是目前電子商務的基礎。

所有標準瀏覽器均內建SSL，這意味使用者終端裝置都已擁有可支援安全資料傳輸的用戶端軟體。SSL VPN使用所有標準瀏覽器內建的SSL/HTTPS作為安全傳輸機制，因此使用者無需在公司筆記型電腦中另外安裝用戶端軟體。SSL VPN在應用層，而非網路層上，建立使用者與企業網路間的安全通道，可解決許多IPSec VPN的固有問題，例如：

．無需安裝

．無需設定

．內建於標準瀏覽器中，只要有瀏覽器便可進行存取

．為應用層協定，而非網路層協定，所以沒有NAT或防火牆穿透的問題，多數使用者都知道 SSL，即使是沒有科技背景的用戶。

META Group分析師預測，到2007年，80%的遠端存取方式將改用SSL。附帶一提，各種 SSL VPN方案都不盡相同，唯一的共通點是，它們都使用安全的SSL傳輸機制。由於各家廠商之解決方案的運作方式都截然不同，即便使用共通的傳輸機制也沒有太大的幫助。在評估 SSL VPN解決方案時，請同樣使用評估其它遠端存取方案時一樣嚴格的標準。



結論
全球各地之中小企業市場正快速成長，同時遠端用戶與行動工作者的數量也越來越多。這些企業現在都有能力也有必要購置經濟有效且穩健的遠端存取方案。同時，多數中小企業都未配置 IT人員，因此特別需要易於安裝、管理的解決方案。

這些解決方案必須提供直覺式操作方式，讓沒有技術背景且未經訓練的使用者也能立即上手。最後，這些方案也要夠安全。因為中小企業普遍都沒有內部的IT人員，因此很容易受到攻擊。

中小企業SSL VPN採購經驗談

功能需求、總擁有成本、安全性與擴充性是中小企業評估遠端存取方案時的評估要點。