网络化应用已经成为信息时代不可或缺的业务途径,是企业发展壮大过程中的必然选择。而与此同时,提供网上应用的企业和机构也在面临着重重挑战,确保访问安全就是其中的重要课题。
网上应用当然得面对众多用户。以前,为了保证网络资源和内容的安全性,需要安全保障的信息归入内联网,一般信息则可对外发布,外部用户只能访问这部分内容。但随着业务的深入发展和网络化应用的纵深演进,企业和机构已不能简单的坚持这一理念,许多业务的综合需要全面而安全的访问功能支持,企业员工、客户和供应商等等都需要进入企业的系统,业务畅通面临新的要求。由此,网络访问功能在扩展,而安全要求也在提高。
根据调查,当前企业在网络访问方面的实际需求大致是:希望控制访问者对网络资源的访问,但同时也尽可能地保持基础设施的开放性,而不是简单的拒绝访问。另外,企业不希望为了网络访问安全保障而添置大量的设备,或者在用户的设备上安装任何软件,这样就会影响应用的便捷性。而且,很多企业都是在原有的网络基础上再来考虑网络访问安全问题,因此不希望对整个网络架构进行调整。这些访问支持都是企业用户的实际需求,也是技术厂商需要解决的技术课题。正是在用户的上述迫切需求基础上,网络准入控制(NAC)理念应运而生。
NAC的今生
网络准入控制就是对每一个欲接入网络的用户进行认证,然后依照他们的身份和其他信息,如端点安全检查信息或者用户是通过有线还是无线接入等,而赋予其不同的访问控制策略。而专门编写NAC标准的可信计算集团则进一步从技术特点层面对NAC进行剖析,认为NAC是能够在端点连接至企业网络的过程中应用和执行各类安全要求的开放的、非专用的规格。
在NAC的世界里,有一些特性是需要达到的,这也是满足用户要求的必然选择。首先,NAC必须提供进入控制,有选择性地允许主机联入网络并保持其连接的能力。其次,NAC需要进行安全检查,查看连入系统的补丁、防病毒等功能是否已及时升级,是否具有潜在安全隐患。然后,NAC要提供访问控制,赋予联入主机特定的访问能力和访问内容。
在当前的市场状况方面,据调查显示,目前55%的美国企业都计划购买内部的网络准入控制解决方案,另外11%表示还没有考虑好。在被访的大型企业中,80%都表示要在企业网络中部署NAC方案,51%表示还会在客户端同样部署NAC。此外,那些计划在2008年以前部署NAC的企业中,有32%已经部署了NAC。对于策略(64%)和遵从法规要求(54%)的需求仍然是推动企业部署NAC的主要动力。NAC的市场需求显而易见。
当然,现在已经有部分受访者在实践NAC方案。根据对实践者和潜在实践者的调查,发现这些企业由于应用特点及业务发展阶段不同,在具体的检查要求方面也有所不同。一些 企业会针对端点检查应用和操作系统的补丁升级,检查防火墙、防病毒和反间谍软件是否存在,以及检查USB接口设备和口令的保密程度。有更多的企业表示希望至少对防火墙、防病毒和反间谍件等工具进行检查。另外还有企业根据自身的应用特点,需要NAC方案做口令和操作系统检查以及应用程序检查。而造成上述需求差异的原因是,企业要考虑到成本和复杂性问题。
不过,当前也存在一定的争议。例如,也有专家认为,由于涉及的方面众多,是否配置NAC仍是一个有待商榷的话题。如果希望部署这一方案,专家建议企业选择那种很适合当前设备并且符合未来规划的方案。而且如果企业比较倾向的方案太贵,你可以等到有更好的标准出现、等市场成熟以及价格回落后再买。同时,专家还建议企业应当逐步地实现NAC,这样就能充分兼顾当前的网络架构和访问控制需求。
应用层的访问控制
目前,有很多厂商都在致力于NAC方面的创新,其中最专注于第七层(应用层)的是应用优化和全局安全访问解决方案的提供商Array Networks。为什么该公司如此专攻第七层呢?用公司首席执行官赵耀的话讲,那是因为公司通过对应用送达与访问的深刻了解,认为解决用户的真正问题在应用层。
赵耀表示:"目前业界在NAC方面进行了很多探索,一些NAC方案希望在网络上解决问题,对端口和终端设备进行全面管理,但这要求几乎进行全面的系统设备更新。另一些NAC方案希望用软件来实现,但部署很复杂,维护成本也较高。另外,还有一些方案是通过在线方式解决,在每个端口部署检测设备,但这无疑会增加部署成本。从Array Networks的角度来看,公司希望通过在应用层开发NAC技术与产品方案,以简单部署的方式,着手解决每个访问用户、每台设备和每个网络的随时随地访问与控制的问题,并支持海量的并发用户安全访问。"
为此,Array Networks着手开发了端点安全、接入控制、虚拟化和资源发布等特性,充分保障应用层的NAC功能。其中,在访问性方面,鉴于企业系统用户身份的多样性和部署的复杂性,Array Networks强调了虚拟化技术,而且也是业界首先提出虚拟化技术的SSL VPN厂商。过去,厂商都强调数据中心需要虚拟化,服务器需要虚拟化,存储器需要虚拟化。而Array Networks在此基础上进一步演进,认为应用也需要虚拟化。例如在数据中心里,用户关注的是最基本的几个的问题,如到底租用多大的数据中心空间,以及考虑电源和发热的问题,这是最传统的几个问题。这些问题与服务器的数量有关,进而与应用的规模有关。因此,从这个角度而言,应用虚拟化是一种非常经济高效的理念。也正是基于这种认识,Array Networks选择了从应用虚拟化入手,解决复杂的访问控制问题。
在智能的随需应变业务方面,Array Networks独具资源发布技术。企业在商业外联网中所需要的解决方案,是既能为有限信任的用户和合作伙伴提供安全的应用访问,又能不暴露他们的内部网络结构的技术,而这是传统技术所不能实现的。在此方面,Array Networks的资源发布技术是一项独一无二的技术,它把SSL VPN的优势(安全应用发布,隐藏内部网络结构,灵活性以及方便部署),扩展到企业与客户或合作伙伴的点对点安全通信中的技术革新成果。根据这种技术,企业系统就能够保证,针对特殊的用户、特殊的客户和特殊的伙伴,将他们想获得的资源最有效率的提供给他们,同时限制其他人的访问权限,实施智能的访问控制。
责任编辑:封小明
