网络设置技术飞速发展,如何找到既具成本效益又安全可靠的远程访问及认证管理解决方案,是IT主管们每天都需要面对的问题。

  近来VPN受到企业与媒体的大力关注,不过VPN真的是最佳解决方案吗?一项在欧美进行对超过50位IP VPN使用者进行的调查发现,将近40%的受访者认为没有达到VPN预期的成本效益,同样比例的受访者更指出整体效果也远不如预期设想。

  调查中大多数受访企业指出,他们的VPN系统只用来做发电子邮件和网页浏览,相对的深层次应用,比如声音与资料整合、双向视讯沟通及资料存取,这些只是可望而不可及的事情。

  此外, VPN不兼容于不同网络环境更为企业所叫苦不迭。如今,已有不少厂商开始倾向于以基于Web的SSL来解决,本篇报导将针对VPN及SSL两大解决方案,分析其特色及成本比较,以供企业作为选择适合自己需求的参考。

  两大解决方案总体持有成本比一比
  为了提供读者网络建设所耗费的总体持有成本估算,这份报告是以根据一千位员工的企业,包括总公司及各公司端点,计划提供四百位远程员工联机服务,公司网络环境是以T1专线条件做仿真设计。由于台式计算机、网络支持及线路维护成本太过庞大,因此将不纳入比较。以下为VPN及SSL两种解决方案总体持有成本比较分析。

VPN Solution成本(硬件部分)

假设:

1000位员工企业(包括总公司与各分公司)400位远程计算机使用者

 

网络环境投资:

T1专线建置费

T1专线月租费

 

NT$150,000

NT$20,000~30,000

VPN设备投资:

400位远程员工设备的费用(VPN Clients)

VPN设备最初的费用

 

NT$1,539,000

NT$561,000

后续成本:(不纳入比较)

VPN环境维护

执行认证机制以免除维护

 

因服务厂商而异

执行VPN的平均成本

NT$2,270,000

每位员工执行的成本(1000位员工为基准)

NT$2,270

 SSL Solution认证成本

假设:

1000位员工企业体(包括总公司与各分公司)

400位远程计算机使用者

 

网络环境投资:

T1专线建置费

T1专线月租费

 

NT$150,000

NT$20,000~30,000

SSL Solution设备投资:

SSL协议设备的初始费用

400位客户端

 

NT$1,353,200

NT$68,000

后续成本:(不纳入比较)

网络安全平台维护

 

  因服务厂商而异

执行iGate的平均成本(iGateSSL方案中的一种)

1591200

每位员工执行的成本(1000位员工为基准)

1591.2

 


  VPN会是最佳方案吗?
  因为结合了众多网络技术并且由于可以提供远远超越传统广域网(WAN)的优势,目前VPN技术已经为广大企业和媒体所认可。然而这些优势背后隐藏了诸多隐患,这些隐患是当初大家所始料不及的,比如:

  ü VPN与其它环境兼容性低
  ü 设备投资成本高,且随使用者多而增加成本
  ü 建置时间长,投资效益降低
  ü 安装程予繁杂,增加IT作业

  关于VPN的争议有很多,从「安全性」的观点来看,单是面对诸多不兼容厂商产品的挑战,就足以成为构成决定是否采纳VPN的关键因素。

  而设定上,为了维护每一位使用者的存取控制设置,VPN必须在防火墙设定之外再额外进行存取控制设定。并且,大多数VPN都是直接连接在两个网络上,使用者会经常通过它连接信道,由此会增加对网络基础架构内的多重服务器的有害安全风险。

  同时,MIS人员也必须在客户端计算机上安装VPN client软件,而复杂的安装过程无法借助远程程序完成,因此必须将在远程使用的计算机送回总公司设定VPN client设置。再者,VPN client软件需和客户端计算机安装的TCP/IP协议堆栈相作用,这样可能导致在设定上的产生一些特殊问题,例如与其它控制通讯或网卡的驱动程序发生冲突。

  因此,线上技术支持、网络工程师和IT管理者,都必须要付出更多的精力完成VPN用户的额外支持请求要求,这样就导致使用过程复杂化并增加额外的IT工作负荷。

  在这种情况下,如果要寻求一种可以轻易整合到既有网络环境的解决方案,可以说VPN也许并不是最佳选择。

  SSL带领网络安全认证进入新纪元
  为解决VPN所带来的难题如安装设定、高成本等问题,网络安全厂商都采取了相应的对策,如Rainbow公司,在今年度开始提出了在网络应用层面的Web 安全解决方案,透过SSL加密和验证,确保Web服务器和客户端计算机之间的资料存取安全。该Web 安全解决方案可在不同操作系统之间通行,无需任何额外设置。

  ü SSL安全部署时间短,投资报酬率高
  ü 与既有环境兼容
  ü 强调延申性最广的Web环境
  ü 设备建置成本低
  ü 易增加服务器负荷
  ü 人性化的远程控管

  在一个网络架构内部署SSL的程序中,Web服务器对SSL支持能力的设置是最复杂的工作。除了设置Web服务器并取得SSL认证之外,其对于系统资源(CPU、内存)的额外需求,可能会让已经负荷繁重的服务器更感吃力。

  如果要简化系统设置采用单纯的SSL解决方案是出路之一,不过它们欠缺对终端用户的验证能力,无法执行任何形式的存取控制。针对这些缺点,已有厂商推出SSL验证网关,例如Rainbow 的iGate安全平台,它可以用来满足客户的需求,提供SSL termination并透过USB硬件身份认证令牌iKey做两段式身份验证,达到严谨的双重认证安全管理;当身份认证令牌iKey从客户端计算机拔走时,SSL通讯信道将会关闭,系统平台会立即结束该用户的交易过程。

  SSL验证网关虽然不能像VPN一样提供广泛的存取能力,不过它们可为基于Web应用的程序提供相同级别的保护,所达到的效益,涵盖VPN的所有功能。

  对于提供以Web为基础的网络信息存取的企业而言,SSL网关是一项理想的方案。SSL网关能为网络上的交通提供私密保护和资料完整性,同时验证和授权使用者存取那些资料。不论服务器或客户端系统方面,需要变更的部分都很少。再加上,大多数Web浏览器都支持SSL,因此很容易应用到大量终端用户,因此也省去了大量花费在买client端软件的成本。

  找出最适合的方案
  对于网络安全的解决方案,企业究竟该采用软件、硬件或router-based VPN方案,这必须根据他们的资源与预算而定。

  以软件为基础的方案可能需要额外的线上技术支持,并且可能因需要将设备送到总公司设置而增加额外费用;硬件和router-based方案则需要额外的硬件投资及额外配置,但能免除线上技术支持。此外以现在热门的PKI发展趋势来看,若要满足认证效力的四大要素:私密性、不可重复性、不可否定性、不可复制性,只有硬件才能做到。

  VPN/SSL双管齐下,强调认证身份管理
  企业或许可以将VPN和SSL二者合二为一,这样的网络安全解决方案将会令他们从中受益。VPN可用来支持需要透过网络存取,但不是基于Web应用的终端用户以及需要存取网络资源的合作伙伴。而对于需要加强验证安全的用户,则可以整合SSL 方案,在VPN内使用USB硬件身份认证令牌,提供额外的双重验证安全性,避免遭到破坏性的非法攻击。

  针对庞大供应链需求的企业
  如果公司计划建立一个供内部员工、通讯工作者 (telecommuter)和上下游合作伙伴使用的专用Web应用系统,那就应考虑搭建基于SSL的应用,并发行身份认证硬件令牌给他们的合作伙伴和使用者,以保护特定信息的远程访问机密性。这种方案不需要在基础设施上实施额外设置,只需要在配置SSL应用与搭建硬件身份认证令牌时,设定适当的存取权限,该方案能以最短的时间内完成数千个设定。

  寻求预算低,且仅需基于Web的应用
  仅需要存取基于Web应用的使用者可通过SSL应用提供接受控制的存取权限,并享有双重验证功能。额外的保护包括将Web服务器孤立于安全风险之外,并保护Web应用程序免于遭受黑客的攻击,对于这样的需求,以SSL为基础的网络应用是值得考虑的投资。对于寻求降低支持成本的企业而言,搭配基于SSL应用所设置的应用程序,是目前市面上最有效且符合成本效益的做法。

  综合来说, VPN设置相对繁杂,无法兼容于不同的网络环境,搭建费用较高。SSL可以满足大部分的企业对网络安全的需求,并且大幅降低企业整体持有成本,为企业提供积极的安全管理及强大的网络安全机制,如果二者相结合,将是最佳的解决方案。