启明星辰如何看VPN

随着人们对VPN产品的安全能力需求的提升,从最基础的安全数据传输通道,到二层链路加密,再到三层的协议控制和应用权限控制,越来越多的新技术/协议被集成,VPN产品本身也在随着IT的大环境而不断演变、进化。

启明星辰2013年正式推出天清汉马VPN后,在IDC发布的对2014和2015全年的中国VPN市场规模各厂商占比排名中,启明星辰分别以15.7%和14.0%的市场占有率的表现位居第二。那么,在启明星辰看来,VPN产品当今面临的挑战都有哪些?启明星辰VPN产品以及VPN技术在之后又有可能会往哪个方向发展?

传统VPN对云环境的适应

近几年,云计算技术快速发展,企业和政府都开始将自己的业务数据大量往云上迁移,VPN技术本身如何更好地适应云环境,如何解决虚拟化环境种类众多、部署困难,云租户数量庞大且性能要求高的问题,对VPN产品而言是个不小的挑战。

无论是私有云还是混合云,都具备云租户数量多,网络资源弹性大,随时需要扩容等特点,尤其是云上用户量庞大这一特点,对VPN的性能有很大的考验。“并发接入量和加密吞吐量”,是衡量VPN的基本性能的两个重要指标。启明星辰VPN按照用户需求,通过对云平台的兼容实现对云计算资源的按需索取,进而对用户接入量级和加密流量通道宽度进行“随意”调控。启明星辰专为私有云和混合云提供安全服务的产品“CSG(云安全网关)”,已经实现对KVM、VMWare、XEN等多种虚拟化环境的适应。

据启明星辰MDS产品群VPN产品经理张凡介绍,国内云平台的建设如火如荼,电子政务云为代表的行业云也在快速推进,用户对云环境下VPN安全产品有大量的需求。但传统VPN如何适应云环境下的新特点,真正解决“按需向云租户提供可信赖的安全接入”,“实现云中弹性部署”,“匹配云平台的管理需求”非常重要。如果可以解决以上问题,VPN产品在云时代下的价值将会被真正的放大。

张凡

当然,启明星辰VPN近两年也正与其它大型云服务提供商展开密切合作,例如与阿里云以及腾讯云已经有了很多合作项目。

向CASB靠拢

云访问安全代理CASB(Cloud Access Security Brokers)技术,作为Gartner在今年7月提出的2016年十大信息安全技术之一,重点解决SaaS模式下的安全性与合规性需求。类似于一个部署在用户与云服务商之间的应用代理安全网关,CASB可提供可视性、合规性、数据安全、威胁保护四个维度的安全功能。也就是说,SaaS模式在中国的落地情况,会直接影响CASB技术在国内的发展。

在启明星辰MDS产品部总经理孟庆森看来,CASB和VPN在技术上的积累有些类似,在CASB服务中,云服务商本身无法再通过某个管理员账户管理用户的接入权限,用户的全部权限均统一在CASB服务中,且会与SaaS应用本身紧密结合。

“ 从CASB功能性上讲,更像是“VPN+DLP+基于云场景审计”的结合,VPN作为用户接入云的中间设备,提供安全传输和身份认证的能力,DLP实现对用户行为所涉及敏感信息的发现,而对用户行为数据的审计是这套解决云接入安全解决方案的核心价值点所在,这样就可以实现对用户使用数据的行为进行监控并保证其行为可靠、可控和可审计,甚至可追溯。

虽然国内SaaS模式的云服务成长较为缓慢,单VPN产品也已经开始向CASB技术靠拢。

除了对云环境的适配外,移动端较好的接入体验和对数据、身份安全性的保证,也是启明星辰VPN的一大发力点。

据启明星辰VPN产品经理商跃鹏向记者介绍,VPN要实现员工对业务系统安全的接入和登出,不是简单只在接入节点进行控制就可以实现的事情。目前主要的问题在于用户经过认证接入内网后,出现的在访问内网资源时接入权限和资源访问权限不一致问题,以及人和设备在安全接入时的安全问题。

左起:孟庆森、朱智勇、商跃鹏

“原先,A可以以A的身份通过VPN接入内网后,访问资源时在认证界面输入B的账户和口令,这样他就可以实现以A的身份接入但以B的身份访问资源。现在,我们通过SSO单点登录,在VPN配置和用户注册阶段,将VPN账户及其资源访问权限绑定,拦截访问资源时弹出的界面并进行自动填充,以避免这种情况的发生。但是,启明星辰还有更理想的解决方案。”

利用标准认证协议非对称,不可链接,可撤销的三个特性,我们可以更理想的解决上述问题。通过SAML、OpenID、FIDO等方式,用户接入并通过认证后,认证中心将给其颁发临时票据,在访问资源时用以确定访问者身份和权限。

对FIDO的支持

FIDO(Fast Identity Online)联盟及其推出的标准化协议框架,其目的在于更快、更简单且更安全的线上身份验证。目前联盟拥有近250家组织成员,我们熟知的谷歌、黑莓、英特尔、微软、贝宝、联想、RSA等均在其列。FIDO最大的特点在于身份验证凭证总是存储在用户设备上,攻击者需要物理接触设备才可能尝试攻击,这无疑提高了攻击成本。

商跃鹏说,启明星辰已经在国内VPN产品中,率先实现了对FIDO 的完全支持和集成。由于FIDO本身整合了安全认证器(可以是指纹、虹膜等生物特征,或是语音、面部识别等方式)和TEE(可信运算环境),使移动端的安全提高到了新的级别。同时,启明星辰VPN支持了可信计算体系,可通过TCM可信密码模块对系统本身进行高强度的保护。 

 “这是一个安全理念,也是我们之后的发展方向,不只是VPN产品,我们想做全链路的安全,同时希望找到一种方式,比如和一些企业合作,把有价值的东西通过我们的努力作出标准化的产品。”

除此以外,在接入体验上,启明星辰的VPN亦有所加强。

移动端VPN接入体验的优化

移动办公作为一种新型办公方式,正在慢慢颠覆传统的办公模式。不只是愈加轻薄的笔记本,除了钉钉等协同移动办公软件的应用外,大型企业都拥有自己的OA、ERP或相应的手机APP。而这些对业务系统的接入,都对接入安全和传输安全有着强烈的需求。

除了对不同主流浏览器内核,如IE、Safari、谷歌、火狐等的兼容外,对Windows(XP/7/10)、Redhat、CentOS、安卓、iOS等PC或移动端的操作系统,启明星辰VPN也已经做到全覆盖。对于已有的本地业务系统App,更可以通过向App开发人员提供SDK接口,通过对App进行二次封装的方式做到用户无感知的安全接入。通过和企业自身业务系统的紧密结合,给了VPN更灵活的部署方式。

VPN在超大规模网络的快速部署

在一些特大型的央企、国企以及整个军工行业,其网络基础设施数量庞大,且更新升级快,如果使用IPsec协议进行VPN部署,因为其需要在IP报头后插入数据,在企业网络的路由表发生变化后,需要重新部署,维护成本因为其网络规模庞大而不菲。

启明星辰VPN 针对客户“超大规模网络部署”以及密钥管理和部署过程过于复杂的问题,通过对GDOI多播密钥管理协议的支持,结合密钥管理中心(KMC)实现密钥的管控和分发,实现VPN在超大规模网络的快速部署、密钥集中管控和数据加密传输。

同时,对于已经到来的物联网(IoT)时代,随着企业生产的智能设备渗透进千家万户的日常生活,企业和客户都需要通过移动端App实现控制和安全接入,在未来这无疑也会形成一个超大型网络。

安全牛评VPN作为一种传统的安全设备,正随着云计算的普及、CASB、和FIDO等新技术的兴起,有了更多的应用场景和活力。因为VPN其庞大的市场,除了启明星辰外,国内外安全厂商,如深信服、天融信、华为,国外如Cisco、CheckPoint等,都在积极布局。用户的需求变化,技术的发展都要求厂商对其产品进行打磨甚至更新换代。虽然现在还没有哪家安全公司像下一代防火墙一样提出下一代VPN的概念,但我们有理由相信,它离我们也已经不远了。

---

最新版,长按,可“置顶”