随着人们对VPN产品的安全能力需求的提升,从最基础的安全数据传输通道,到二层链路加密,再到三层的协议控制和应用权限控制,越来越多的新技术/协议被集成,VPN产品本身也在随着IT的大环境而不断演变、进化。
启明星辰2013年正式推出天清汉马VPN后,在IDC发布的对2014和2015全年的中国VPN市场规模各厂商占比排名中,启明星辰分别以15.7%和14.0%的市场占有率的表现位居第二。那么,在启明星辰看来,VPN产品当今面临的挑战都有哪些?启明星辰VPN产品以及VPN技术在之后又有可能会往哪个方向发展?
传统VPN对云环境的适应
近几年,云计算技术快速发展,企业和政府都开始将自己的业务数据大量往云上迁移,VPN技术本身如何更好地适应云环境,如何解决虚拟化环境种类众多、部署困难,云租户数量庞大且性能要求高的问题,对VPN产品而言是个不小的挑战。
无论是私有云还是混合云,都具备云租户数量多,网络资源弹性大,随时需要扩容等特点,尤其是云上用户量庞大这一特点,对VPN的性能有很大的考验。“并发接入量和加密吞吐量”,是衡量VPN的基本性能的两个重要指标。启明星辰VPN按照用户需求,通过对云平台的兼容实现对云计算资源的按需索取,进而对用户接入量级和加密流量通道宽度进行“随意”调控。启明星辰专为私有云和混合云提供安全服务的产品“CSG(云安全网关)”,已经实现对KVM、VMWare、XEN等多种虚拟化环境的适应。
据启明星辰MDS产品群VPN产品经理张凡介绍,国内云平台的建设如火如荼,电子政务云为代表的行业云也在快速推进,用户对云环境下VPN安全产品有大量的需求。但传统VPN如何适应云环境下的新特点,真正解决“按需向云租户提供可信赖的安全接入”,“实现云中弹性部署”,“匹配云平台的管理需求”非常重要。如果可以解决以上问题,VPN产品在云时代下的价值将会被真正的放大。
张凡
当然,启明星辰VPN近两年也正与其它大型云服务提供商展开密切合作,例如与阿里云以及腾讯云已经有了很多合作项目。
向CASB靠拢
云访问安全代理CASB(Cloud Access Security Brokers)技术,作为Gartner在今年7月提出的2016年十大信息安全技术之一,重点解决SaaS模式下的安全性与合规性需求。类似于一个部署在用户与云服务商之间的应用代理安全网关,CASB可提供可视性、合规性、数据安全、威胁保护四个维度的安全功能。也就是说,SaaS模式在中国的落地情况,会直接影响CASB技术在国内的发展。
在启明星辰MDS产品部总经理孟庆森看来,CASB和VPN在技术上的积累有些类似,在CASB服务中,云服务商本身无法再通过某个管理员账户管理用户的接入权限,用户的全部权限均统一在CASB服务中,且会与SaaS应用本身紧密结合。
据启明星辰VPN产品经理商跃鹏向记者介绍,VPN要实现员工对业务系统安全的接入和登出,不是简单只在接入节点进行控制就可以实现的事情。目前主要的问题在于用户经过认证接入内网后,出现的在访问内网资源时接入权限和资源访问权限不一致问题,以及人和设备在安全接入时的安全问题。
左起:孟庆森、朱智勇、商跃鹏
“原先,A可以以A的身份通过VPN接入内网后,访问资源时在认证界面输入B的账户和口令,这样他就可以实现以A的身份接入但以B的身份访问资源。现在,我们通过SSO单点登录,在VPN配置和用户注册阶段,将VPN账户及其资源访问权限绑定,拦截访问资源时弹出的界面并进行自动填充,以避免这种情况的发生。但是,启明星辰还有更理想的解决方案。”
利用标准认证协议非对称,不可链接,可撤销的三个特性,我们可以更理想的解决上述问题。通过SAML、OpenID、FIDO等方式,用户接入并通过认证后,认证中心将给其颁发临时票据,在访问资源时用以确定访问者身份和权限。
对FIDO的支持
FIDO(Fast Identity Online)联盟及其推出的标准化协议框架,其目的在于更快、更简单且更安全的线上身份验证。目前联盟拥有近250家组织成员,我们熟知的谷歌、黑莓、英特尔、微软、贝宝、联想、RSA等均在其列。FIDO最大的特点在于身份验证凭证总是存储在用户设备上,攻击者需要物理接触设备才可能尝试攻击,这无疑提高了攻击成本。
商跃鹏说,启明星辰已经在国内VPN产品中,率先实现了对FIDO 的完全支持和集成。由于FIDO本身整合了安全认证器(可以是指纹、虹膜等生物特征,或是语音、面部识别等方式)和TEE(可信运算环境),使移动端的安全提高到了新的级别。同时,启明星辰VPN支持了可信计算体系,可通过TCM可信密码模块对系统本身进行高强度的保护。
“这是一个安全理念,也是我们之后的发展方向,不只是VPN产品,我们想做全链路的安全,同时希望找到一种方式,比如和一些企业合作,把有价值的东西通过我们的努力作出标准化的产品。”
除此以外,在接入体验上,启明星辰的VPN亦有所加强。
移动端VPN接入体验的优化
移动办公作为一种新型办公方式,正在慢慢颠覆传统的办公模式。不只是愈加轻薄的笔记本,除了钉钉等协同移动办公软件的应用外,大型企业都拥有自己的OA、ERP或相应的手机APP。而这些对业务系统的接入,都对接入安全和传输安全有着强烈的需求。
除了对不同主流浏览器内核,如IE、Safari、谷歌、火狐等的兼容外,对Windows(XP/7/10)、Redhat、CentOS、安卓、iOS等PC或移动端的操作系统,启明星辰VPN也已经做到全覆盖。对于已有的本地业务系统App,更可以通过向App开发人员提供SDK接口,通过对App进行二次封装的方式做到用户无感知的安全接入。通过和企业自身业务系统的紧密结合,给了VPN更灵活的部署方式。
VPN在超大规模网络的快速部署
在一些特大型的央企、国企以及整个军工行业,其网络基础设施数量庞大,且更新升级快,如果使用IPsec协议进行VPN部署,因为其需要在IP报头后插入数据,在企业网络的路由表发生变化后,需要重新部署,维护成本因为其网络规模庞大而不菲。
启明星辰VPN 针对客户“超大规模网络部署”以及密钥管理和部署过程过于复杂的问题,通过对GDOI多播密钥管理协议的支持,结合密钥管理中心(KMC)实现密钥的管控和分发,实现VPN在超大规模网络的快速部署、密钥集中管控和数据加密传输。
同时,对于已经到来的物联网(IoT)时代,随着企业生产的智能设备渗透进千家万户的日常生活,企业和客户都需要通过移动端App实现控制和安全接入,在未来这无疑也会形成一个超大型网络。
安全牛评
VPN作为一种传统的安全设备,正随着云计算的普及、CASB、和FIDO等新技术的兴起,有了更多的应用场景和活力。因为VPN其庞大的市场,除了启明星辰外,国内外安全厂商,如深信服、天融信、华为,国外如Cisco、CheckPoint等,都在积极布局。用户的需求变化,技术的发展都要求厂商对其产品进行打磨甚至更新换代。虽然现在还没有哪家安全公司像下一代防火墙一样提出下一代VPN的概念,但我们有理由相信,它离我们也已经不远了。