云时代的远程安全接入

　　一、 安全接入所涵盖的需求范围

　　一个基于网络的安全解决方案，必然是一个端到端的安全体系架构。也就是说，在进行初始的网络安全解决方案设计时，我们就必须考虑到各个环节可能引入的安全威胁和风险。因此，安全接入所涵盖的需求范围，不应是单指接入终端的安全性，而是一个涉及到“接入终端安全、传输通道安全、内部资源安全”的完整安全体系。

　　能够完整实现上述安全体系的接入技术，可以是一种技术，也可以是多种技术的组合。比如在“接入终端安全”方面，我们可以通过终端准入控制、终端安全管理等技术来实现，而在“内部资源安全”方面，我们可以选择结合网络域认证进行资源授权等方式来完成。但对于“传输通道安全”，尤其在Internet环境，在无法对业务访问的沿途节点进行技术要求和部署时，我们可选择的技术并不多，通常只能是：“加密的VPN通道”。

　　二、 IPsec VPN和SSL VPN

　　IPsec VPN和SSL VPN，两者的共同特点一是都能实现数据的安全加密;二是都对沿途转发节点没有额外技术要求。但是，由于两者在技术上采用不同的网络层次来进行安全加密处理以建立网络安全通道，因此在连通性、安全性方面还是存在着差异。

　　· IPsec VPN，是网络层的VPN技术，对应用层协议完全透明，一旦建立IPsec VPN加密隧道后，就可以在通道内实现各种类型的连接，如Web、电子邮件、文件传输、VoIP等这是IPsec VPN的最大优点。另外，IPsec VPN在实际部署时，通常向远端开放的是一个网段，针对单个主机、单个传输层端口的安全控制部署较复杂，因此其安全控制的粒度相对较粗。

　　· SSL VPN，基于SSL 协议，而SSL协议内嵌在浏览器中，因此任何拥有浏览器的终端都天然支持SSL VPN，这让SSL VPN技术在瘦终端日益普及的云时代如鱼得水。同时，SSL协议位于TCP/IP协议与应用层协议之间，其安全控制粒度可以做到精细化，可以仅开放一个主机、一个端口甚至一个URL。但相应的，其应用兼容性整体上则更弱一些。SSL VPN相对于IPsec VPN的另外一个核心优势在于：无需增加设备、无需改动接入侧的网络结构即可实现安全接入。这非常适用于租赁型的云计算应用场景，比如：超算中心。

　　由于IPsec VPN和SSL VPN各自不同的技术特点，在实际部署中，IPsec VPN技术通常部署于站点对站点(site to site)模式的安全互联场景，而SSL VPN技术则更多的用于终端对站点(client to site)的应用场景。相应的，IPsec VPN技术要求两端网络出口成对部署IPsec VPN网关，而SSL VPN技术则要求核心网络部署SSL VPN网关、接入端采用集成SSL协议的浏览器即可(如图1所示)。

图1 常见的加密VPN应用场景

　　三、 云时代的远程安全接入的变化

　　云计算主要传输通道是互联网，这也是恶意攻击经常发生的地方。用户能够放心的把企业和个人资料存放于云上，不仅需要法律法规约束云服务商不会查看到用户信息，更需要可靠的安全技术手段来提高用户对云计算环境的安全信心。云时代的安全接入挑战与传统安全有何不同呢?在传统远程安全接入需求的基础上，云时代所带来的核心需求变化体现在如下两个方面：

　　· 多租户带来的安全问题。不同用户之间相互隔离，避免相互影响。云时代，需要通过技术杜绝在云端用户“越界”的可能。不仅企业与企业之间要实现相互隔离，部门与部门之间、终端用户与终端用户之间也要实现相互隔离。只有能够提供粒度细至每个用户的独立安全通道，才能够从技术上解决多租户环境给企业安全管理人员带来的困扰。

　　· 采用第三方平台带来的安全问题。服务提供商管理人员的实际权限将是非常现实的问题，运维管理人员必须在经过企业内部系统管理员充分授权的情况下，才能够登录和访问企业的后台管理系统。相应的，每个租户/企业也必须拥有独立、隔离的管理维护系统，以保证业务系统管理的独立性和自主性。

　　四、 “云端互联”涉及的远程安全接入

　　传统远程安全接入技术，主要是指“跨Internet”的安全访问，如分支互联和移动办公的业务应用;而在云时代，尤其是在私有云的应用场景，虽然部分终端向云的接入不再经过Internet，但在数据集中计算和存储的背景下，共用网络平台引入了新的“私密性”和“用户鉴权”的安全需求，由此，云时代的远程安全接入主要是指“跨共用网络平台”的安全访问，包含“云端互联”和“云间互联”两个方面(如图2所示)。

图2 云端互联与云间互联示意图

　　“云间互联”本质上是解决两个数据中心的互联互通问题，因此前文所提的两个核心需求变化对“云间互联”的应用场景并无影响。其相关的技术关注点与传统的分支互联在安全性上并无差别、仅仅是对设备性能和可靠性提出了更高的要求。本文不再赘述。

　　我们重点对“云端互联”场景进行分析。前文已介绍，“云端互联”的安全接入包含“接入终端安全、传输通道安全、内部资源安全”三个方面，而我们选择的SSL VPN技术能够很好的解决传输通道安全问题。那么在接入终端安全、内部资源安全方面，该如何解决?是否也能够通过SSL VPN技术实现?

　　答案是肯定的。首先，业界常见的SSL VPN设备均能够提供终端安全检查功能，其基于内置控件可以对接入终端的安全性进行检查，检查内容包括进程、文件、浏览器及补丁版本、杀毒软件及病毒库版本、操作系统及补丁版本等。同时，SSL VPN可以根据终端安全检查级别进行资源分级授权，即系统可以根据终端安全检查的结果、向终端下发相应的资源访问权限。由此，接入终端的安全性问题得到了很好的解决。

　　内部资源安全的问题又如何解决?内部资源的安全性问题，从本质上讲是一个鉴权的问题，只要保证通过最小授权原则、将相应的资源授权给相应的用户，内部资源的安全问题就在安全接入层面得到了保障。SSL VPN在传统“用户名+密码”认证的基础上，同时支持证书认证、动态口令认证、短信认证等多重认证方式，并能够提供“用户名+证书”、“证书+动态口令”等组合认证方式，保证认证过程的周密严格。同时，前文我们也提到了，SSL VPN可以仅开放一个主机、一个端口甚至一个URL，可以对不同的业务系统进行最小资源授权。

　　通过周密严格的认证过程和最小资源授权系统，不仅解决了内部资源安全的问题，也解决了多租户之间的业务访问相互独立和隔离的问题。

　　最后，我们还需要解决多租户SSL VPN系统的独立管理维护问题。这个问题也在防火墙设备的应用中出现过，最终通过虚拟防火墙技术得以解决。以H3C SecBlade SSL VPN的虚拟化技术为例，它支持类似虚拟防火墙技术的虚拟域技术，能够将单一物理系统从逻辑上虚拟为多个独立的虚拟门户、提供给不同的租户。同时出于云平台运营管理的需要，根域可对SSL VPN设备进行基础管理、并实现子域的划分与基础设定，而每个企业用户可以对自己的子域进行完全独立的配置管理。

　　五、 结束语

　　在云时代，安全接入不再是仅满足“移动办公和分支互联的部分用户”的需求，而是要满足接入“云中心”的所有终端的共同需求。在解决了端到端的业务安全性需求之后，性能和可扩展性这两个方面也需要重点考虑：成百倍增加的接入用户规模，反应到SSL VPN系统的硬件性能上，就是远高于传统设备的业务加密吞吐能力。而随着业务的阶段性部署和持续发展，则要求设备必须具有良好的扩展性，以保证满足云时代资源池化的基础需求。

　　附录：H3C云安全接入方案的特点

　　H3C的云安全接入方案主要由SecBlade SSL VPN业务网关、SecCenter安全管理中心两部分构成。

　　高性能的硬件加密

　　H3C SecBlade SSL VPN模块基于高性能的专用加密芯片，单板加密吞吐能够达到2Gbps、最大10000并发用户的业界领先水平;同时，通过在一个交换机/路由器机框中集成多块SecBlade SSL VPN板卡，能够实现SSL VPN加密吞吐量的线性叠加，提供单设备整机最高32Gbps、160000并发用户的高加密吞吐能力。

　　对于IPsec VPN来说同样如此，H3C不仅通过SecBlade Ⅱ/SecBlade Ⅲ FW单板提供高性能的IPsecVPN接入能力，更能够通过在一个机框中集成多块SecBlade，有效提升整机的IPsecVPN处理能力。

　　层次化的智能弹性扩展

　　H3C SecBlade SSL VPN不仅能够通过在一个交换机/路由器机框中集成多块板卡来实现业务的弹性扩展，更能够结合H3C IRF技术，实现多台机架式设备的整体弹性扩展。

　　虚拟门户技术

　　H3C SecBlade SSL VPN的虚拟化技术，实现单板128个独立可管理的虚拟域，每个子域相当于逻辑的独立的VPN网关，根域可对VPN设备进行基础管理，并实现子域的划分与基础设定，而每个企业用户可以对自己的域进行配置管理，而不同企业用户拥有完全隔离的资源访问体系。

　　安全严格的认证和授权

　　H3C SecBlade SSL VPN在传统“用户名+密码”认证的基础上，同时支持证书认证、动态口令认证、短信认证等多重认证方式，并能够提供“用户名+证书”、“证书+动态口令”等组合认证方式，保证认证过程的周密严格。

　　在资源授权方面，整个资源授权主要包含两个方面：身份授权和终端安全授权。身份授权基于身份认证，在身份认证的基础上给出用户对应可访问的授权资源列表;而终端安全授权则是根据管理员预设的安全级别，在对终端进行安全检查、匹配相应安全级别之后，给出的相应授权资源。二者是相互结合的，一个用户所能获取到的资源不仅取决于用户的身份，同时取决于用户接入终端的安全状态。

　　完善的安全访问审计

　　当安全接入系统布署在云端之后，管理员需要一个工具，提供安全接入系统的访问审计，以保证对整个接入系统安全状态的有效管理。

　　通过部署H3C SecCenter安全管理中心，能够从接入用户的访问记录、管理员的操作记录和历史记录的趋势分析三个维度，为管理员提供全面细致的安全接入系统访问审计。