搜索
安全远程访问的昀佳实践——通向未来的指南未来的趋势是发展为完全颠覆传统网络的通用访问控制模式,其保护范围主要集中于应用资源。目录安全远程访问的发展…………………………………2访问控制的影响………………………………………3本地和远程访问的融合………………………………3通用访问………………………………………………4通用访问控制…………………………………………4逐步实现通用访问控制………………………………6SonicWALLAventailE-ClassSSLVPN提供通用访问控制………………………………………………7全面保护成就您的商业速度TM摘要移动技术和全球商业实践的巨大变化引发了本地及远程访问的变革。不同于从前,现在越来越多的人需要从更多的地点,使用更多的设备开展工作,在保护网络资源的前提下提供访问变得难上加难,成本也越来越高。现在,本地用户的访问必须像远程访问那样绝对安全,而远程用户访问必须像本地访问那样简便和全面。如今,所有用户从潜在意义上讲都是远程的,而所有终端都存在潜在的不安全性,但是用户会从任意地点请求对商业资源进行访问。因此,未来的趋势是采用一种通用访问控制模式,颠覆传统网络的概念以将保护范围集中于应用资源。您的关注点也会转变为保障所有用户和关键业务应用之间的安全通信。SonicWALL®Aventail®E-ClassSSLVPN技术将为您提供即刻创建通用访问控制所需的解决方案。安全远程访问的发展远程访问技术在昀近数十年中取得了显著的发展。新型移动设备和商业解决方案以全新的组合方式出现——可能几年前还未进入企业IT部门的关注范围,但是目前几乎每天业界都会发布相关信息。宽带上网已成为公认的标准,无论是在家、在工作场所还是在途中任意地点。传统台式机被笔记本电脑、PDA和智能电话所取代,所有设备都是移动的,采用先进的无线和蜂窝连接。VoIP的兴起将电话呼叫转变为数据资源,把电话转变成另一种网络访问方式。远程访问的根本性变化■网络化办公更加普遍■移动设备的激增■宽带的普及■IP电话的兴起这一基础性技术变革在企业界引发了一场远程访问的革命,体现在全球范围内通过电脑终端和电传在家办公的人员数量极剧增加。合作伙伴、供应商和咨询顾问在日常业务运作中发挥着越来越关键的作用。传统网络的边界日益消失,“办公室”不再特指任何实际场所:无论是身处公司总部,还是置身于另一个半球的酒店套房,企业经理们期待着能够使用自己的笔记本电脑完全访问相同的应用及文档资源。会计们要求从远程数据点的主机上,通过互联网安全访问分支机构办公室的金融数据。销售团队现在带着他们的虚拟办公室上路,通过一整套微型移动手持设备,请求从各地酒店、机场和会议中心的公共信息亭访问企业资源。商业合作伙伴、供应商和咨询顾问,经常需要进行跨职能团队合作,请求从企业“外部”防火墙的终端,通过外部网络,访问企业“内部”资源。各行各业的远程办公人员通过家中或附近咖啡馆WiFi热点连接商务应用程序和文档。全面保护成就您的商业速度TM2访问方式的改进意味着生产效率的提高,因为现在无论是在现场还是在家里、无论是在合作伙伴的办公场所还是在生产基地都可以进行办公。但是,要想在确保网络资源安全的前提下提供更广泛的访问,往往被实践证明难度更大,所需成本更高。访问控制的影响在技术和商业运营中体现出的移动性趋势加快了传统网络节点从IT可控的硬缆连接的台式机到无线笔记本电脑和移动设备的更新过程。尽管这些设备都是由IT部门发放的,但要让IT部门控制用户如何使用这些访问设备,并限制用户将这些设备暴露于可能影响企业资源安全的风险当中可为是难上加难。例如,终端用户可能在家或在办公室使用同一移动设备,即私人设备用于商务目的,或将公司所有的设备用于私人目的。本地和远程访问的融合在大多数情况下,本地访问被作为远程访问对待,或者情况相反。本地用户的访问必须像远程访问那样绝对安全,而远程用户访问必须像本地访问那样简便和全面。访问策略规定,不同于全网访问权,本地用户被限定于只能访问授权资源。但是,访问策略也可允许远程用户更广泛地访问许多协同商业工具。随着越来越多的用户在不同地点办公,远程访问的需求也在日益上升,而仅局限于本地的访问需求开始下降。硬线连接的局域网访问模式被普遍采用的无线网络和互联网高速连接所取代。数据中心变得更加虚拟化,可为任意地点的资源提供动态访问。如今,IT部门必须假定所有用户潜在意义上都是远程的,而所有终端都是不安全的。同时,IT部门还必须假定所有用户都将从任意地点,使用任何现有设备,要求全面访问他们的商业资源。随着本地/远程访问的融合,IT部门与其去追求一个安全的网络,不如专注于在网络资源间建立安全的通信。传统网络边界被严格限定在应用数据中心后台管理系统的资源边界内。实际上,企业IT数据中心会越来越像亚马逊或e-Bay等电子商务革新者一样,提供基于互联网、可全球访问的业务。本地/远程访问必将发展为通用访问。全面保护成就您的商业速度TM3访问模式的发展本地/远程访问模式通用访问模式防火墙后的客户或提供商VoIP用户内部用户企业数据中心在信息亭的员工旅途中的执行官使用无线热点的员工加班的员工外部用户企业数据中心客户或提供商远程访问员工PDA用户通用访问通用访问完全采用公平竞争的方式。不会有任何用户、设备或地点被暗中设定为安全可信的,其判断完全取决于信息资源:应用、数据和业务。此外,通用访问还会拓展竞争领域。所有用户、设备和网络技术都是受欢迎的,并且无论来源于任何终端设备或地点的所有资源都可随时轻松地进行访问。虽然通用访问在常规情况下应当允许对所有资源进行访问,但这并不意味着所有访问都将获得允许。IT部门需要建立并维护一种通用访问控制策略。通用访问控制由于笔记本电脑和移动设备从流动性越来越强的边界进进出出,IT部门已无法为传统网络提供全面保护。对于您的网络昀危险的攻击可能来自本地而不是远程用户。现在IT经理必须假定,所有用户和设备都存在潜在风险,无论用户是通过远程访问还是直接插入局域网。日益增加的终端用户及其远程终端设备的管理难度造成了IT部门的成本大幅提高。为了强化流动性更高的网络边界,基础架构所需成本猛增。全面保护成就您的商业速度TM4为提高移动工作的效率,企业希望增加对资源的访问,同时不会带来成本或复杂性的提高。为了达到这一目标,企业需要考虑部署规模的扩大、应用的多样化以及安全需求。部署规模和复杂性的增加,将提高管理和维护传统“胖客户端”远程访问解决方案的成本。IT部门需要适用于现有基础架构和系统的解决方案,与此同时,还要保持性能。Web应用和客户端/服务器应用等应用资源变得日益多元化,其远程使用和管理变得更为复杂。为降低风险,必须要采用通用访问控制来加强安全性。为了成功建立通用访问控制,企业应当重新审视自己对于安全性的考虑。如今,所有用户都是潜在的远程用户,所有端点都存在潜在的不安全因素,基础网络也必然具有相应的不安全因素。因此,我们要对企业间的通信进行管理并确保其安全性,如下三个基本问题必须明确:●用户是谁?●终端设备有哪些?●有哪些内容被访问?为了建立通用访问控制,每个用户都应进行验证,每个终端系统都应被审核,以确定其身份和完整状态,只有在满足以上条件的前提下,用户才可获取相应的、基于策略的资源访问权限。IT部门需要对终端设备的状态进行全面评估,以便实施策略决策(例如,根据该设备是否包含一个有效的设备认证或当前的防病毒签名文档)并相应地进行设备分类。IT部门还应能够根据安全策略,将授权用户和他们已获得授权访问的资源进行匹配。另外,IT部门应当采用有效的验证方法,明确识别用户身份信息。全面保护成就您的商业速度TM5通用访问控制的实现方式对所有应用访问进行控制远程访问是关键使用实例适度远程访问通用访问控制用户覆盖范围远程访问控制远程用户访问应用端点控制与应用控制所有设备,所有应用,所有用户策略覆盖范围逐步实现通用访问控制不仅是为了顺应外部趋势,IT部门确实需要在实现通用访问控制的过程中领先一步。IT经理应当考虑采用一种战略性的、分阶段的方法实现通用访问控制,使该公司的传输变得更加轻松。IT部门可以在许多领域进一步采取行动,专门为特定的业务和技术难点提供即时解决方案,例如:远程访问:通过为全体员工提供简单易用、部署便捷的随时随地访问方式提高生产效率。外部网络访问:为合作伙伴提供开放式访问以增进双方合作,同时所采用的方式还不会令访问控制和安全性受到破坏。移动性:移动设备对于音频和数据来说实用性越来越强,但同时也需要对IT可控的和非控的移动设备提供基于策略的访问控制。保障无线网络安全:由于掌控了每位无线网络访问者的身份,无线网络用户和远程用户都可获得严密的安全保护。强化策略:业务合作及合规性更适合于进行细粒度访问控制,然而IT部门却努力强化各种不同访问点的策略。灾难恢复:当遇到业务故障时,大量远程访问的请求可能会突然造成多数员工的访问受阻。网络访问控制(NAC):NAC是用来负责整体监测和网络访问的,不过许多公司都希望能够将其功能扩展到应用访问控制领域。全面保护成就您的商业速度TM全面保护成就您的商业速度TM6这种分阶段方式可以带来即时并且持续的效果,同时不会对预算和资源产生显著影响。例如,第一步可以先取消内部有线办公网络,替换为无线网络,通过SSLVPN设备确保安全。这将使终端用户从固定位置上解放出来,为其提供更加灵活的应用工具访问方式,只要是在公司无线局域网内,无论哪个办公室和会议室都可访问,从而促进合作,提高生产效率。第二步是通过互联网将安全的远程访问范围延伸到员工家里或途中,同时还可授权业务合作伙伴进行访问。第三步是当员工在紧急状况下不得不远程办公时,将标准化的远程访问作为补救灾难恢复战略的基础。第四步是对所有的移动设备实施远程访问策略的标准化。第五步是将SSLVPN访问策略和终端控制融入更广泛的企业网络访问控制(NAC)方案。随着每一步的实施,企业将逐步达到经通用控制技术实现通用访问的目标。SonicWALLAventailE-ClassSSLVPN提供通用访问控制管理这种新型参考架构的关键所在是由SSLVPN技术所提供的安全的远程访问控制。SonicWALLAventailE-ClassSSLVPN可为绝大多数资源,在昀远的端点位置,提供昀佳的安全远程访问。SonicWALLAventailE-ClassSSLVPN解决方案一直以来被领先的独立研究分析公司视为SSLVPN行业的业内领袖,它可为通用访问控制提供昀易于使用、昀便于管理的解决方案。SonicWALLAventailE-ClassSSLVPN检测终端设备。SonicWALLAventailEndPointControlTM可根据用户信任、用户的终端环境以及基于认证的移动设备水印,令IT部门强化细粒度访问控制规则。保护被访问的资源。SonicWALLAventailUnifiedPolicyTM可根据用户身份和设备的完整性提供细粒度访问控制。AventailUnifiedPolicy对所有用户、群体、资源和设备进行集中化控制,使得管理员可以跨越所有对象快速设立单一策略。为用户和各种设备的应用提供安全便捷的连接。SonicWALLAventailSmartAccessTM通过各种各样的应用及平台(包括Windows®、WindowsMobile、Macintosh®和Linux®),为普通用户提供一种无缝的用户体验——无论是在可控的还是在非可控的设备上,通过单一网关即可实现。可根据集中化资源策略、用户授权和端点的完整性自动匹配恰当的安全级别。全面保护成就您的商业速度TM7Aventail®WorkPlaceTM基于Web的应用PDA/智能手机用户在信息亭的用户业务合作伙伴电信工作者文档共享Aventail®ConnectTM业务版本Windows服务器内部用户WindowsXPDesktops无线LAN瘦客户端/服务器应用IT可控的设备分支机构应用Aventail®ConnectMobileTM传统客户端/服务器应用移动PD