采购攻略:企业安全如何选择适合自己的VPN

DoSECU 安全分析 10月22日消息:目前市场上有很多虚拟专用网络可供选择,但是并非所有的虚拟个人网络都是一样的。虚拟专用网络的性能,可扩展性,兼容性和集中管理等都是企业用户在选择安全的虚拟专用网络解决方案之前应该考虑的衡量标准。根据每家企业用户安全和移动性需求的不同,每种虚拟专用网络的选择都有着各自的优势和不足。在此Knowledge Center的特约撰稿人Jorg Hirschmann为企业用户提供了一系列在执行虚拟专用网络解决方案之前应该考虑的技术标准和企业清单。

虚拟专用网络是许多企业中IT安全协议的基本组成部分。但不幸的是,面对目前各种可供选择的移动设备应用软件,在授权员工进行远程办公的同时还要防范网络风险成为企业面临的一个挑战。企业正在努力寻找一种包治百病的方法来为这些用户提供安全的网络访问解决方案。

部署适合公司组织结构的合理规划的虚拟专用网络,流程的决策,办公场所的分散和他们的研发需求都是必需的。目前市场上有很多虚拟专用网络可供选择。让我们来审核这些选择和企业在选择安全技术时应该考虑的因素,这些技术必须在不影响便携性或者有效性的前提下,适合企业独特的安全需求。

创建一份虚拟专用网络清单

部署一个虚拟专用网络,特别是可升级和经得起未来考验的虚拟个人网络需要进行周密的规划。基本的决策标准应该包括工作类型(移动办公还是办公室办公),工作环境(单用户还是网络计算机),信息交流的关系(打进还是拨出)以及运作模式(自治形式还是将网络外包给提供商)。

要为他们的企业建立最佳的虚拟专用网络,网络管理员应该在脑海里思考以下的七个问题:

1.公司里有多少员工在工作中要使用到系统,移动的还是固定的?这会影响到虚拟个人网络中心网关的研发或者连接到信道上的同步接线的数量。

2.公司网络从什么位置被访问?是本地,地区,国内还是国际?这会影响到传输网络(也就是WLAN, LAN和Wi-Fi)。

3.什么设备会被用来远程访问网络(也就是说是桌面系统计算机,超便携式笔记本电脑还是手持设备)?企业必须确保虚拟专用网络客户可以支持操作系统。

4.远程办公的员工能转换和区分他们在办公室和家中的时间吗?这会影响到虚拟专用网络客户提供的服务范围。

5.运程计算机中会使用那种应用软件?会影响到远程设备的有效性吗?企业必须考虑传输媒介的类型或者能够激活互联网访问的连接点。

6.那种安全级别是必须的?什么类型的数据可以被传输?什么样的安全协议适用于远程办公的员工?用户验证也是企业考虑的一个因素。

7.诸如用户定义的数据库,RADIUS目录服务等中心IT组件会被用到吗?这些能帮助企业识别标准支持的级别和兼容性。

探究虚拟专用网络市场的选择

目前的硬件和操作系统让企业和用户都对他们的虚拟个人网络选择日渐失望。举例来说,采购新的计算机显然要选择最快最新的机型,但随后你会发现他们公司内部的虚拟专用网络无法兼容。因此崭新的设备无法在工作中使用。

无论企业是选择与软件匹配的硬件设备还是寻找与加密套接字协议层虚拟专用网络配套的IP安全选择,市场上都是许多不同的解决方案。让我们来分析以下四个可能的解决方案:

解决方案1:免费软件虚拟专用网络

免费软件虚拟专用网络是能为远程网络访问提供廉价选择的应用软件。用户可以在没有直接软件成本的前提下在他们的网络环境中测试某些功能。这对于个人用户是最佳的选择,软件采用的是开放式标准,研发人员鼓励源码社区来完善和修改源代码。因此,免费软件虚拟个人网络能提供商业软件无法提供的特性。

尽管免费软件对于个体用户来说是一个有趣的选择,但对于任何规模的企业用户而言都不是理想的选择。技术支持的匮乏就是一个大问题,而且此类软件也没有中央控制或者管理。另外,许多企业都采用没有任何正式协议或监管的免费软件。这些软件在推出之前存在很多没有修正过的严重漏洞,这样就很容易对网络安全和可靠性构成威胁。免费软件还伴随着广告或者在用户系统中安装垃圾邮件软件的程序。

解决方案2:基于网络的远程访问效用

这种付费软件意在为计算机用户提供远程访问,便携式笔记本电脑屏幕或者系统上的显示在办公室之外就可以进行定位。它还能允许用户进行安全的加密链接,双重身份验证和对用户登录进行通知。另外,这些基于网络的效用对设置没有特殊要求。这种软件是提供简单的远程桌面系统访问的便捷解决方案。

这就是整个虚拟专用网络吗?不是这样。首先,企业网络内部的计算机必须全面开放给远程用户。系统必须开启和执行正确的职能。其次,远程访问服务可以将网络周长延伸到未知的领域,导致一些未经测试的软件进入服务区,更改用户的风险设置。软件在连接内部防火墙上也存在问题,可能无法遵循企业中关于隐私和执行的安全最佳实践。企业用户不应该将这些基于网络的效用工具作为可行性虚拟专用网络选择。

解决方案3:OpenVPN

像免费软件和远程访问效用工具一样,OpenVPN低廉的运作成本对用户很有吸引力。开源软件对于小型企业和个人用户来说是不错的选择。它能提供多平台支持,可以安装在Linux, Unix, Windows和Mac OS X操作系统之下;许多社区支持的选择都可以适用于OpenVPN。这种虚拟专用网络选择的其他优势包括对动态IP地址的支持,网络地址转换可适应链接压缩和将秘密任务卸载到OpenSSL库的模块化设计。

由于OpenVPN的性能和灵活性,OpenVPN对于用户来说可能比较难;如果不精心设置和安装的话,可实现的功能性也十分有限。软件无法阻止未加密的流量,当用户处于限制性环境中时就只能在防火墙之后活动。

从网络管理员的立场来看,OpenVPN确实没有采用适当的安全协议。企业用户应该在脑海中谨记OpenVPN是以加密套接字协议层为基础的;混合IPSec和SSL解决方案对于需求旺盛的用户和那些仅需要偶尔访问远程网络的用户 都是较好的选择。

解决方案4:传统和付费

企业用户长期以来都在软件虚拟个人网络和硬件虚拟专用网络孰优孰劣的问题上争执不下。传统的虚拟专用网络软件被强调为最划算的选择,特别是在升级和可扩展性上尤其如此。软件虚拟专用网络的另一个优势是网络无需更改,无需额外的设备,无需安装,配置和管理工具也能保持不变。因为它是软件,虚拟化技术也成为可能。另外自动防故障装置备份系统可以共存在任何企业办公区内,使得企业在冗余系统能省不少钱。

IPSec和SSL协议是围绕虚拟专用网络技术展开的另一个争议性领域。IPSec VPNs传统上说有着大量的管理和行政费用,因为他们在每台设备上要依靠软件代理的手动安装。SSL虚拟个人网络在获取全面远程访问上能力也有所限制,也无法与复杂应用软件共同运行。

综上所述,新一代的IPSec虚拟专用网络也有着需要改进的管理问题,需要通过单点管理来自动进行混合IPSec和SSL虚拟专用网络的管理和维护。