• 必须使连接性成为可能,从用户使用的任意设备,从任意位置,到数据托管的任意地点。而远程访问是实现“三个任意”的必要条件。

  • 文中给出了五种远程网络访问安全架构:IPsec、TLS VPN、TLS隧道、SDP、云VPN。对远程网络访问进行管控的安全技术专家,必须根据其使用情况,综合考虑各种远程访问安全选项。

  • 由于端点、应用程序、服务逐渐在传统边界之外运行,因此需要更加强调“零信任”方法。

一、远程网络访问的五种架构选项

图1-远程网络访问的五种架构选项

让我们来看看针对企业端点的五种不同的远程网络访问架构选项,这些选项将加密流量,以满足各种数据传输要求。五种选项中的前三种,即IPsec、TLS VPN、TLS隧道,通常(但并非总是)可以由同一个供应商产品实现。此外,TLS-VPN和TLS隧道本质上是相同的技术,并且通常在同一产品中可用。但它们可以用于执行不同的功能,并具有不同的用例,因此将它们分为两类。

01 IPsec VPN

IPsec VPN产品通常用于站点到站点的连接,例如将办公室分支连接到本地基础设施或创建到云服务提供商(CSP)的本地连接。但是,它们也支持客户端到站点的连接。如下面的图2所示,IPSec VPN通常需要在端点上安装代理,以便创建返回防火墙或VPN集中器的通信通道。

图2-IPsec VPN

在当今的混合和分散环境中使用IPsec产品的最大挑战之一是IPsec隧道是一对一连接。也就是说,一个设备创建一个隧道以连接回防火墙或VPN集中器,然后隧道在那里终止。除非允许隧道分离,否则来自该设备的所有通信(无论是云流量、常规互联网流量还是本地流量)必须首先到达终端点,然后路由到正确的目的地。

根据设备位置、终点和目的地,此架构可能有优点和缺点。

好处:

■ IPsec VPN在网络层(OSI模型的第3层)运行,因此它们可以保护所有基于IP的网络流量。

■ 设备的所有流量,通过组织的安全栈进行过滤。

■ 数据从端点到终点都受到保护。

缺点:

■ IPsec VPN功能主要以网络为中心,这意味着一旦用户登录,他们就可以访问整个网络

■ 一旦客户端和设备通过身份验证并被授予访问网络资源的权限,就没有持续的验证

■ 如果不允许隧道分离,IPsec VPN会增加到云端/互联网的通信延迟

■ 需要在防火墙上打洞,以允许流量通过。

■ IPsec VPN不太适合物联网(IoT)、供应商或BYOD端点。

02 TLS VPN

大多数用户在进行个人或组织业务时都应该遇到SSL连接。SSL是“HTTPS”中“S”的意思。它告诉用户,他们的浏览器和目标服务器已经协商了一个安全连接,从而创建了处理从浏览器到网站的流量所需的一致性。关闭浏览器后,安全通信也将关闭。

请记住,SSL已被TLS取代。事实上,SSL在2015年就被弃用了,但它的名字仍在继续。因此,任何时候供应商谈论SSL,他们实际上都是在谈论TLS。

在TLS连接期间,服务器是唯一被验证的身份。除非服务器上配置了双向TLS(mTLS),客户端不必向服务器验证其身份。TLS VPN通信的图形表示如图3所示。

图3- TLS VPN

根据设备的位置、终点和目的地,这种架构也有优点和缺点。

好处:

■ TLS VPN在应用层(OSI模型的第7层)运行,因此它们只保护应用流量。

■ 从浏览器直接连接到防火墙/VPN集中器。

■ 数据从端点到终点受到保护,除非存在检查

缺点:

■ 一旦浏览器关闭,安全连接就终止,用户将不得不重新启动浏览器以再次进行安全连接。

■ 除非解决方案被特别配置为使用mTLS,否则只有服务器身份被验证。

03 TLS隧道

从某种意义上说,TLS隧道在IPsec和TLS VPN两者之间创造了最好的世界。在(用于IPsec连接的)UDP端口500被阻塞的情况下,TLS隧道对于在远程位置执行大量工作的用户来说尤其重要。这些位置的例子包括酒店和咖啡店热点。TLS隧道通常通过端口443创建连接,而该端口通常是可以通过防火墙的。TLS隧道在IP栈中起着某种“填充/垫片”的作用。如图4所示,隧道使得TLS能够在网络层而不是应用层运行,从而允许基于网络的流量在远程实体和公司数据中心之间流动。

图4- TLS隧道

根据设备的位置、终点和目的地,这种架构也有优点和缺点。

好处:

■ TLS隧道填充网络栈,允许其在网络层(OSI模型的第3层)运行,从而保护基于IP的网络流量。

■ 设备的所有流量,通过组织的安全栈进行过滤。

■ 数据从端点到终点都受到保护。

■ 不需要特殊的防火墙规则,因为传统上允许TLS流量。

缺点:

■ TLS隧道能力主要以网络为中心,这意味着一旦用户登录,他们就可以访问整个网络。

■ 一旦客户端和设备通过身份验证并被授予访问网络资源的权限,就没有持续的认证。

■ 如果不允许隧道分离,则TLS隧道会增加到互联网的通信延迟。

04 软件定义边界(SDP)

软件定义边界(SDP)是这一领域较新的产品,但SDP这个概念已经存在多年,从美国国防部开始。云安全联盟(CSA)早在2013年5月就推出了最初的规范,然后在2014年发布了SDP规范1.0版。图5描述了一个基于客户端的SDP产品,它遵循CSA概述的SDP框架。

SDP产品要求在端点上安装一个代理,以方便与控制器和授权网关的通信。通信通过mTLS处理,这意味着客户端验证控制器和网关,反之亦然。客户端将向控制器发送单包授权(SPA),控制器对用户和设备进行身份验证和授权。然后,控制器用一个经批准的应用程序和服务的列表来响应客户端。同时,它向网关发送一个授权,标识客户端可以访问哪些应用程序和服务。网关有一个内置的默认拒绝规则,它会丢弃所有没有以SPA发起连接的流量。SDP产品使用持续认证,即使在用户和设备经过认证和授权之后。

图5- SDP

根据设备的位置、终点和目的地,此架构也可能有好处也有缺点。

好处:

控制平面和数据平面是分离。因此,受损的控制器并不意味着受损的网关。

■ 除非授权用户和设备获得明确访问权限,否则应用程序和服务是隐藏的

■ 数据从端点到终点都受到保护。

■ SDP支持用户和设备的持续认证。

缺点:

SDP不能处理所有网络传输,如会议IP语音架构中的多播或客户端到服务器到客户端传输。

■ 实现各不相同,并非所有产品都遵循SDP框架。

■ SDP不太适合处理可能在传统端口和协议之外运行的遗留应用程序和服务。

■ 网关后面的流量,可能不会被产品加密。

05 云VPN

根据供应商的不同,基于云的VPN产品有两种不同的选择。一个云VPN产品可以覆盖一个组织中几乎所有的用例。这里讨论的第一个产品是托管VPN服务或VPNaaS(见图6)。在本产品中,端点创建到最近的云网关的加密连接。一旦进入云网关,流量就不加密,以便于检查和路由。然后,它通过供应商的主干网传输到离目的地最近的网关设备。一旦到达目的地,它就被重新加密。

图6- VPNaaS

根据设备的位置、终点和目的地,这种架构也有优点和缺点。

好处:

■ 供应商拥有并经营一个VPNaaS。

■ VPNaaS支持持续认证。

■ VPNaaS记录并监控通过连接的所有流量。

■ VPNaaS非常适合处理遗留应用和服务。

缺点:

■ VPNaaS可能不会加密通过供应商主干网的流量。

还可以选择使用客户运行的基于云的产品(参见图7)。有了这个产品,客户可以在云中运行网关。安装在设备上的代理,必须预先配置,以将设备路由到特定网关,具体取决于设备尝试访问的应用程序和服务。因此,如果需要访问基于SaaS的应用程序的设备,可能会被发送到云中托管的特定网关;但是,如果设备需要访问本地应用程序或服务,它将连接到本地托管的网关。

图7-客户运行的云VPN

根据设备的位置、终点和目的地,这种架构也有优点和缺点。

好处:

■ 企业拥有并运营基础设施。

■ 企业可以利用其现有基础设施。

■ 可提供代理和无代理产品。

■ 该选项非常适合处理遗留应用程序和服务。

缺点:

■ 所有业务在转发到目的地之前,都要经过云端。

■ 在通过供应商主干网传输时,通常不加密流量。

二、远程访问架构的选择

当今的环境由分散和分布式的数据、应用程序和服务组成。这一现实可能使保护端点和宿主位置之间的所有连接成为一个复杂的问题,传统的客户端到站点产品无法充分解决这个问题。即使在今天,这些环境也可能需要具有不同功能的重叠产品。当组织将工作负载分布到多个位置时,用户必须能够透明地连接到所有这些位置。连接必须是可能的,从用户使用的任意设备,从任意位置,到数据托管的任意地方,几乎不需要用户干预。

01 基于端点位置和能力选择架构

大多数企业都有多种类型的端点,这使得架构选择变得困难。组织必须确定他们是选择一种架构还是多种架构,才能满足其企业端点的所有远程网络访问需求。这个决策取决于很多因素。

根据前面的图1,了解哪些产品最适合您的环境是很重要的。需要考虑的因素包括:

端点的位置:要了解什么类型的产品可以起作用,您需要确定端点将从何处连接。例如,该设备是远程位置(IoT)的独立设备,通过蜂窝或卫星链路连接吗?或者,用户是否会从酒店或机场Wi-Fi登录到设备以执行工作功能?

应用程序的位置:随着越来越多的应用程序和服务从组织的内部基础设施迁移到其他托管位置(如云),实现从端点到应用程序的直接连接将变得更加高效。

端点能力:您必须确定端点是否可以应对代理问题。如果端点类似物联网设备,则无代理产品将是最佳选择。

服务管理:产品管理将是一个重要因素。本文提供的各种产品,可以由组织管理,也可以由供应商管理。例如,VPNaaS产品以及大多数基于SDP的产品通常由供应商管理,而传统的VPN服务则由企业管理。

02 优先使用基于云的产品

当组织为企业端点评估各种远程网络访问产品时,实际产品将是能够覆盖所有或大多数用例的产品。随着越来越多的组织开始将其基础设施迁移到云托管环境中,远程网络访问产品也将迁移到云上是很自然的。

根据上述三个考虑因素(始终连接/按需连接、理想端点、理想目的地),基于云的产品最适合满足这些要求。随着基于云的产品以及应用程序和服务迁移到云,从管理和最终用户的角度来看,安全地连接到基于云的服务更加有效。当涉及到可以利用无代理产品的设备类型时,基于云的选项也将是最通用的。

03 始终连接vs.按需连接

最早的VPN客户端花费了大量端点资源,以便为另一端的服务提供加密的通信通道。然而,由于当今端点(不考虑大多数物联网端点)中可用的资源以及更高效和安全的加密算法,安全通信通道可以在几秒钟或更短的时间内启动。

对于必须与托管在混合环境中的应用程序和服务进行通信的端点,此功能将特别重要。因为数据进出云端的开销,不可忽略。在云托管应用程序或服务之间来回移动数据,会产生成本。如果一个端点有一个始终连接回云托管位置的连接,这些成本可能会累加起来,造成严重的影响。

04 代理 vs. 无代理

在讨论允许端点加密通信的能力时,始终存在这样一个问题:在设备上安装代理,还是采用无代理选项。答案取决于以下几个因素:

终端硬件:虽然大多数基于代理的产品都很小,而且使用的资源也很少,但代理仍然可能给物联网设备带来挑战。大多数连接到网络的物联网设备的硬件能力非常小。因此,它们可能没有足够的存储或处理能力来支持代理的安装。

终端的所有权:硬件的所有者也将在确定是否可以安装代理方面发挥作用。例如,供应商可能已经安装了企业远程网络访问客户端,但它可能与您的环境不兼容。

05 隧道分离

隧道分离可以方便终端与互联网的通信,而无需将流量回程至本地基础设施。而隧道分离带来的一个问题是,恶意流量有可能通过分离隧道并桥接到公司网络。这是一种风险,应该像环境中的任何其他风险一样加以管理。

隧道分离的好处:

■ 它避免了将所有业务回传到公司网络的额外延迟。

■ 为远程工作者访问全球分布式云服务提供更好的性能。

■ 它降低了通过公司网络安全栈重定向的流量的带宽需求。

隧道分离的缺点:

■ 互联网流量不通过公司安全栈,可能允许恶意流量到设备。

■ 在具有重叠/非连续IP范围/子网的网络上,基于IP的分离隧道部署可能很麻烦。

需仔细评估隧道分离的效率。在VPN会话中,隧道分离经常出现。大多数组织防止隧道分离有两个原因:

■ 感知到风险

■ 监管或合规要求

诚然,隧道分离技术会带来潜在的风险,即恶意行为人会在公司VPN和互联网连接流量之间架起桥梁。然而,还没有任何高影响力的案例表明,隧道分离产品成功地破坏了一个组织的网络。

06 确保传输加密

随着组织不断地将其应用程序和服务迁移到即服务类型的产品中,风险和信任仍然是首要问题。在某些情况下,如为满足法规和合规要求,对供应商的信任可能无法满足保护通过网络传输的敏感数据的要求。

一定要了解加密在通信通道中的开始和结束位置,因为有些供应商不加密其主干网上的数据通信。遵循组织风险管理实践,以确定是否需要在存在数据暴露潜在风险的情况下实施第二种加密形式。即使使用IPsec隧道,您可能需要确保使用TLS保护单个web应用程序连接。

07 IPsec配置和管理

IPsec产品继续表现良好,主要是因为IPsec功能已经内置到组织环境中部署的产品中。此功能是所有主流防火墙以及各种操作系统的基本功能,无需安装代理。

使用内置IPsec功能的挑战,归结为配置和管理。组织必须了解设置IPsec功能所需的所有不同的产品配置。设置Android内置VPN功能与设置iOS、Windows、macOS的VPN功能不同。

IPsec提供了广泛的网络访问,但需要更细粒度的控制。为了获得在当今的混合部署中所必需的细粒度访问控制,您可能需要部署一个补充产品,例如NAC或微分段产品。

三、用例

用例1:始终在线的访问

有些组织要求,只要设备连接到internet,它就必须创建一个受保护的连接隧道,返回到组织的基础设施。这一要求主要存在于具有严格监管或合规要求的行业(如政府和金融机构)。如果设备和用户通常访问高度敏感的组织数据,则当设备连接到internet时,必须始终监视该访问。

在某些情况下,组织本身只是想确保所有进出远程终端设备的流量都通过其内部安全栈进行传输。为什么不呢?安全基础设施投入了大量的时间、精力和成本。通过确认最大程度地利用了安全功能,组织可以确保从其安全栈投资中获得最大价值。

对于这种类型的用例,利用IPsec VPN或TLS隧道是有意义的。

用例2:自带设备

BYOD一直是个不错的选择。有了这个选项,组织不必购买员工已经拥有的重复硬件,员工也不必保有重复硬件。只要员工愿意接受安装在设备上的代理,他们仍然可以从公司拥有的设备访问通常可以访问的数据、应用程序和服务。

在这种情况下,组织必须克服的最大障碍,与许多组织已经克服的将一些基础设施转移到云控制上的障碍是一样的。你看,在云环境中,组织必须与云提供商共享一些安全控制。BYOD是一个非常类似的场景,因为设备的所有者必须在多个级别上更新设备:

■ 操作系统:确保设备在适当情况下运行当前操作系统

■ 补丁:确保安装了最新的修补程序

■ 恶意软件保护:根据最新的恶意软件和病毒威胁更新设备

如果用户想要连接到网络,组织确实可以控制这些区域。组织将能够确定用户必须满足的最低要求,以便访问网络资源。

在这个用例中,大多数供应商提供某种类型的用户和设备证明。然而,进行持续认证的产品将是最佳选择。这样,即使用户和设备已连接到网络,也会根据组织要求不断检查它们。

在这个用例中,更好的选择是SDP、TLS VPN或托管VPNaaS产品。

用例3:第三方供应商

这个用例场景与上面的BYOD用例非常相似。然而,在这里,组织可能希望在允许供应商连接到网络之前对他们施加额外的要求。除了BYOD用例中确定的需求外,组织可能还希望确保:

■ 基于角色的访问控制强制执行最小权限

■ 安装证书

在这个用例中,更好的选择是SDP或托管VPNaaS产品。

用例4:按需访问

组织可以按需访问内部应用程序和服务,同时通过正常的互联网连接路由所有其他流量。此用例最常见的场景涉及移动用户,这些用户每天多次连接到资源,但只有很短的时间间隔。一个例子是当移动用户访问他们的组织电子邮件时。电子邮件连接只需要足够长的时间来发送电子邮件或接收新电子邮件。此功能可能已经内置到应用程序本身中,但也可以通过浏览完全限定的域名在浏览器中完成。

要满足此要求,最好与一个可以根据需要启动和拆除TLS连接的产品一起使用。可选项包括TLS VPN、SDP或VPNaaS。

用例5:物联网

物联网产品可能有点挑战。物联网设备通常建立在执行非常特殊功能所需的最小化硬件上,例如确保远程位置的温度在可接受范围内。这些硬件限制使得保护从物联网设备到目的地的数据通信更加困难,但这样做也许并非不可能。在这个用例中,可能有几个选项:

■ 该设备是否具有内置VPN功能?如果是,您可以利用什么来实现安全连接?

■ 物联网设备能支持代理吗?一些物联网设备可以,如果是这样,它将拓宽可用的选项。

■ 设备能否建立TLS连接并支持认证?因为许多物联网设备运行在精简版Linux上,它们可能能够通过TLS连接到网络。

假设物联网设备的能力有限,不能使用代理,但它可以接受认证。在这种情况下,最好的选择是使用TLS VPN或其他无客户端产品。

声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。