满足分支机构安全联网
时间:2022-08-25 01:40:25
分支机构是现代企业潜在的关键竞争点,其员工数量通常占公司总人数的一半以上,经常支持大量的主要业务功能,并且是距离客户最近的实体。
据行业分析公司Nemertes Research统计,2005年大约有91%的员工在总部以外的地方工作,而在2003年这一比例为85%。
这些总部以外的员工无疑需要访问很多同类型的应用和计算资源,而这些应用和计算资源又往往布置于中央站点和地区总部。
然而,经过证实,鉴于影响现代化计算环境的大量因素,包括不断增长的流量、不断增加的互联网用量和依赖性、新型应用、不断发展的威胁以及大量的制度压力等,满足此类接入需求的常用方法在性能、安全性和拥有成本方面都存在缺陷,因此需要全新的分支机构解决方案―针对内外部威胁同时提供强韧的保护,同时更好地合并所需的安全和联网功能。
分支机构的趋势和挑战
详细了解影响现在范围更广的计算环境的挑战,对于更好地了解分支机构理想安全解决方案的要求至关重要。
过去,企业通过在分支机构与总部间的广域网(WAN)连接支持分支接入总部运行的业务应用。
后来,帧中继等普及的广域网技术被基于互联网的 VPN 等低价方案所代替。但无论在哪种情况下,都使用相同连接传输往返于总部与其他位置和互联网间的流量。
这种方式常被称作回路方式,由于无需在每个分支机构都安装昂贵且复杂的安全基础设施(如防火墙、入侵防护系统、网关防病毒和 URL 过滤等)而受到欢迎。然而现在,大量因素正在使这种方法遭遇效率危机。
“缓慢的”互联网连接便是其中的一个因素。这是个非常普遍的现象,因此,半自治的分支机构员工为了避免繁文缛节并更高效地满足“自己的独特需求”,擅自建立到互联网的本地直接连接。
这确实能满足他们“特殊”的连接要求,同时提高绩效,但是也不可避免地将这个组织暴露在更大的风险之中。毕竟,与总部员工使用不一致的或更为松散的安全功能和策略将为灾难埋下隐患。
然而更严重的问题是,与过去相比,现在使用的应用更复杂、需要更多带宽、对延迟更敏感。
VoIP 技术、远程教学和大量多媒体应用的日益部署只是这个趋势的驱动力之一。此外,对大多数组织来说,现在越来越多的流量都以互联网为目的地。
遗憾的是,在这些情况下,回路通信量将使数量日益增多的现代业务应用出现性能问题,同时原始带宽和安全处理使中央站点面临着容量需求激增的压力,从而进一步延长会话延迟,同时迫使企业大幅度增加中央站点基础设施的前期购置和后期运行成本。
回路方法的另一个缺点在于它完全忽略了内部网络及系统的安全保护要求。这种适用于任何情况的方法同时还受到大量制度和法规的制约,明确(至少是含蓄的)要求组织满足内部计算环境的安全要求。
从实用的角度看,提高用户及其计算站的移动性可能将威胁(如蠕虫和其他恶意软件)带入这些环境中,因此很危险。
当然,受感染的分支机构随后定将把风险传播给所有其他相连接的位置,尤其是办事处内部通信是相对开放的,未得到严格保护的(经过加密处理的除外)。
此外,即使分支机构的 VPN设备包含防火墙功能和大量的其他安全特性,此类聚焦网络的解决方案通常也无法有效解决上述问题,部分原因是这些产品一方面不能够提供与典型局域网带宽速率相应的足够容量,另一方面,不能通过分割环境来建立多个安全区域。
消除回程影响
这些错综复杂又彼此影响的因素与趋势,产生了两个重要结果。
首先,从经济效益及效能的角度看,分支机构确实有必要建立直接的Internet存取。比较好的方式是使用VPN连接以存取集中运作的资源,但这样却排除了回传Internet消息的可能性。
其次,如果能为分支机构提供完整的安全防护解决方案,也就是不仅抵挡外部威胁,同时还可追踪其来源,则可进一步提升直接Internet存取的效益。
在确立理想的分支机构安全防护解决方案之详细标准与特性前,企业有必要全盘了解各种不同的状况。
一方面,分支机构很少有足够的人力来建立自己的IT支持团队。因此所部署的解决方案必须支持远程控管。
另一方面,企业之分支机构为数众多,即使是小型企业都可能有十个以上的远程办事处,而大型企业可能有上百甚至上千个分支机构,许多零售商则广泛设立许多零售据点。无论是哪一种企业,通常都没有足够的预算来部署适合其规模的安全架构,更直接了当地说,企业对于在每一分支机构中分别安装数十万美元的安全设备相当斤斤计较。
因此,分支机构安全防护解决方案必须符合经济效益以达企业之成本要求,同时还要非常易于部署与操作,因而产生了专为分支机构环境设计的多功能安全设备。
假设要达到面面俱到的安全防护效果,理想的分支机构设备应包括各种安全服务,以及齐备的网络功能(如路由、WAN),以消除部署单独网络设备的需求,进而简化分支机构基础设施。
不断变化的攻击手法是另一个需纳入考量的要点,特别是很多新发现的威胁可以前所未有的飞快速度散播。只要发现新的安全漏洞,不到一天时间黑客就会立刻发动新型攻击,而且其散播速度非常惊人。
例如,在2003年,Slammer蠕虫每8.5秒就造成受感染主机的数目倍增,在10分钟内就感染了全球90%以上的计算机主机。在此情况下,再频繁地安装修补程序、再密集地更新被动式攻击特征,都无法在发动未知攻击的初期阶段有效抵御与保护网络。
还有一个问题是,很多威胁变得更容易躲避侦测。目前安全漏洞百出的应用发展架构,使得黑客能够轻松地制造混合型攻击。此外,过去几年间,黑客的攻击重心已经从寻找网络层安全漏洞,转变成找出应用层漏洞。因此,为数众多的威胁现在已可穿透企业已安装多年的普通应用层防御技术。
因此,分支机构安全防护解决方案的功效有赖于两点:以能够主动防御未知攻击的技术弥补被动式防御机制的不足,并且以能够防御应用层攻击的技术弥补网络层防御机制的不足。同时,这些解决方案绝对不能影响整体系统效能,也不能出现彼此干扰的情形。
前述所有的趋势、挑战,及特性都要求理想的分支机构安全防护解决方案应能够:
提供快速而安全的site-to-site VPN 连接,以便存取集中运作之应用与资源,同时还支持远
端员工存取,以及区域合作伙伴之直接连接。
提供直接而安全的Internet 存取,以免除企业区域办事处在回传Internet 消息时所产生的种种缺点。
改善内部网络与系统之安全防护程取,特别是改善分支机构之安全性,但连接此分支机构之所有其它节点都将因而受益。
在单一设备中尽可能整合多种功能以提升易用性与经济效益,但不会影响安全防护功能、效能,及可靠性。
理想分支机构方案
为完整评估产品,这些最高目标可分类为下面五大重要选择标准,包括:全面的安全防护、丰富的网络互连功能、效能与可靠性、可扩充的管理系统,以及弹性与兼容性,以协助企业挑选理想的分支机构安全防护与网络解决方案。
企业希望分支机构能够从传送Internet消息转移为提供直接网络存取,因此分支机构也需要具备过去通常只有企业总部Internet存取网关器才有的相同而完整的安全防护服务。这些安全服务需满足一般要求:每一种防御技术必须是最佳的防御技术;有些防御技术必须能够主动抵御攻击;
有些防御技术必须提供应用层防护。此外,还需提供下面各项特定功能。
虚拟专属网络。建立IPSec VPN 隧道的能力是分支机构解决方案的最基本要件。这类解决方案应具备可同时支持数个隧道(如100个以上)及加密传输流量(如100 Mbps 以上)的充足容量,以满足各种规模企业之需求。此外还需支持各种类型的常用加密算法(如3DES、AES)、金钥交换(IKE、X.509),以及使用者认证方式(如密码、RADIUS、LDAP、token)和相关功能(如NAT traversal、L2TP within IPSec for Microsoft VPN clients ),以确保最佳的安全防护效益与互通性。
防火墙。防火墙是另一项基本功能,除了远超出早期产品提供之基本网络与传输层存区控制(如根据地址、传输端口,以及协议进行控管),以及许多附带提供安全防护功能之网络设备所提供的功能。的确,防火墙是一种主动防御模式,因此可抵御无数未知的攻击。它仅容许完全符合安全政策的消息通过,不符合者则直接拒绝,以达到(盲目地)消除各种已知与未知攻击的目标。然而,所设定之安全政策的精密度会直接影响防火墙的防御效果。如果防火墙只在网络层中运作,这种问题尤为严重,因为它无法抵御透过其安全原则允许通过之协议、与连接所散布的应用层攻击。如此一来,防火墙还必须支持深入而广泛的应用层感知功能,换言之,除了一些常用的Internet协议外,还需能够分辨Web 服务与应用之相关协议,如即时通讯(instant messaging)、P2P 档案共享以及IP。
攻击防护。无论如何严密防护,防火墙一定会让某些消息通过,甚至于是内含攻击的消息。
因此有必要使用入侵侦测与防御技术进一步检测防火墙允许通过的消息,以确认其中确实没有隐藏任何恶意信息。 专为分支机构设计的入侵侦测与防御系统至少应提供攻击特征侦测机制,以找出已知攻击。这类系统还可结合一个以上的未知攻击侦测功能,例如协议异常侦测、安全漏洞攻击特征侦测。最后,可使用统计式异常侦测,或另一种类似机制,抵挡阻断服务(DoS)攻击。
进阶内容过滤。这并非单一功能,而是结合多项功能的机制,以便保护允许使用者直接存取Internet网络的企业。防毒是其中最重要的一项功能。虽然防毒全然是一种被动式防御技术,但仍可非常有效地阻挡隐藏于档案中的已知攻击,是安全防护架构中不可或缺的一员。
现在,许多防毒系统都搭配使用防间谍软件和防垃圾邮件功能。防间谍软件可阻挡讨人厌大量广告软件,并可防御键盘纪录木马等更严重的威胁。防垃圾邮件可有效消除烦不胜烦的垃圾邮件,以及内含钓鱼攻击的邮件。
最后一项功能是Web/URL过滤,它与前述几种着重于对内消息的安全防护技术略有不同,因其可严密侦测对外消息以抵挡攻击。Web/URL 过滤的主要功用是,避免使用者连上不安全的网站(如其中隐藏间谍软件或钓鱼攻击的网站) ,同时也可阻止使用者浏览可能使得企业需负担违法的网站(如),或是与其工作完全无关的网站。
网络分段与安全区。这是非常实用但却极少被运用的分支机构安全防护功能。如欲执行这项功能,安全防护设备至少需提供数个LAN接口,最好也提供VLAN功能。这些逻辑与实体安全防护设计可将使用者与网络资源划分为数个不同安全区,并强制将安全政策套用于各个安全区之对内与对外消息,因此不同信任等级的资源将分属不同的安全区(如guest WLAN和客服工作站),如果某一安全区遭到攻击或感染,可将影响范围局限于此区域中。
如前所述,理想的分支机构安全防护解决方案应允许企业将其单独部署为单机式网络设备。为此,相关设备需支持各种核心网络功能。多个LAN 接口和VLAN 功能有助于提升安全防护效益,需搭配使用通过部署实证的各种不同LAN/WAN接口模块(这些模块必须是可抽换的模块,以支持未来更新的连接选项),并支持合适的由协议及WAN封装。支持虚拟路由器也是相当实用的特性,大型企业尤其需要这项特性。
专用型系统特别针对其必要功能与部署环境最佳化,部署这类设备有助于大幅提升效能与可靠性。如此一来,部署已预先强化且调整过的操作系统可完全满足特定应用的需求。
另一要点是如何高度整合各种安全防护与网络功能。尤其是那些从发展之初就定位为整合式安全防护与网络设备的产品,通常会比那些后来才增添安全防护模块的旧式网络设备更好用。
基本上,这类设备需具备充足的处理能力、内存,以及I/O容量,以确保在所有操作条件下都能拥有优异的传输速度与合理的延迟,以保障其效能。切记,如果这类解决方案无法提供绝佳效能,就无法适当地运做现代应用,更无法同时提供先进内容过滤并保护内部网络。
效能与可靠性
可靠性的一个先决要件就是提供不间断的运作,因此至少需整合本地故障复原或丛集、备援或热抽取组件(如风扇、电源供应器),以及out-of-band 管理接口(例如,确保在网络高度负载的情况下,仍可使用管理功能)。最好的是可大幅减少可移动零件的数量,例如使用闪存而非硬盘来储存系统软件。最后,千万不要忽视与信誉卓著设备厂商配合的重要性与价值,以享受可靠产品及后续支持与服务。
除了将各种必要功能整合于单一设备之外,分支机构安全防护解决方案还需具备其它特色,以提高经济效益。的确,如果欠缺可扩充的管理功能,这类整合式设备的优点将大打折扣。易于部署是这类即插即用设备的必备特性,同时也是重要的第一步骤。可是,所有设备都只需要安装一次即可,因此其重要性无法与操作管理功能相提并论。
因此之故,集中管理,或同时管理数个远程设备的功能,则是不可或缺的功能。所有生命周期管理功能之易用性也是极其重要的特性。因此,分支机构设备之高效且完备的管理系统应具备下列各项功能:
用弹性的阶层式设备与原则组合,以协助弹性政策发展;
用内含预设设定的样板,以便完成设备设定;
藉由检视设备状态与相关安全事件,以便实时监视;
用各种功能选项(例如预设、客制化、ad-hoc、预先排程)以便稳健的系统记录与报告;
用系统软件自动更新、托管式应用,以及相关内容(如特征)以利于软件维护;
使用单一管理系统管理分支机构或企业总部之所有安全设备,以便统一的管理;
基于脚色的(Role-based)管理提供灵活的使用者存取权限指派功能,特别是管理特定设备或个别服务(如安全防护vs.网络功能,或防火墙vs.防毒功能)。
理想的分支机构安全防护与网络解决方案的最后一项特性,跟前述各项特性同样重要。事实上,许多企业将弹性与兼容性列为优先评估的项目。特别是,分支机构解决方案的寿命与互通性,视其是否能够支持多重软、硬件功能而定,包括使用者验证、加密算法、实体接口,以及路由协定都是很明显的例子。另外还需支持模块化、升级能力,以及充足的处理容量等特性。
弹性与兼容性的另一个重要衡量标准是需支持多重部署模式。特别是分支机构安全防护设备应可在任何环境中发挥相同的保护功效,不论它们是否利用网络转译功能,都需支持透通的运作(如layer2 bridging)。
总结
分支机构及其内部员工都是非常重要的企业资产。因此,企业必须提供高效存取解决方案,使其能够有效率地存取必要的网络资源,不论这些资源是位于企业总部网络中,或是分散于Internet网络中。同时,网络威胁的大肆扩张以及不断升高的法规要求,在在要求企业加强其分支机构的安全防护程度。当然,必须在不中断现有运作的情况下完成这些事项。
结合各种顶级安全服务以及最齐备网络功能的专用型设备是可有效满足前述所有企业需求的理想解决方案。然而,此解决方案的功效最终需依赖它所能满足之重要标准的程度,不仅是安全防护与网络,同时也需满足重要的效能与可靠性、弹性与兼容性,以及可扩充的管理效能。
