網康打造企業私有雲安全門戶

雲計算最為誘人的一點，是終端使用者可以採用任何接入方式進入雲端，享受雲端豐富的應用與快速運算能力。 而這其中，採用移動方式接入的安全問題正在成為人們關注的焦點。 日前，筆者採訪了網康科技產品總監邵民樺，瞭解了其最新應用安全閘道產品NS-ASG對企業私有雲移動接入的安全防護。

邵民樺 網康科技產品總監

下一代VPN

傳統互聯網時代下，移動接入在安全保障方面主要的選擇是各類VPN產品，一般是SSL VPN或者IPSec VPN。

IPSec VPN是目前主流的VPN技術之一，適用于IP網路。 其優點是標準統一、安全性好、對應用透明、性能高，適用于「site-site」以及「Client-Site」通信。 但其缺點也很明顯：遠端主機要預先安裝用戶端軟體，增加了使用的複雜度，其對存取控制也不夠細緻。 SSL VPN是在Internet上使用SSL加密連接訪問私網資源的VPN方式。 SSL VPN具有高細細微性的許可權控制，對於用戶端實現免安裝、免維護，能夠進行高性能的硬體加密。 但在雲計算面前，無論是IPSec VPN還是SSL VPN，其在安全防護上都顯得薄弱了許多。

邵民樺認為，在雲計算時代需要的是「下一代VPN產品」，與傳統VPN產品相比較，下一代VPN產品需要具有以下特徵。

(1)對應用的精細化管理。 在雲計算時代，企業私有雲裡集合了大量的應用，企業員工通過訪問使用這些應用為企業創造價值，而網康的優勢恰恰是對應用的管理。 傳統VPN對使用者的存取控制是通過IP位址埠進行，網康所打造的下一代VPN產品將通過對應用精確識別的方法實現對員工的存取控制，讓正確的員工訪問正確的應用。

(2)高性能：網康的下一代VPN產品在性能上會有數倍到十倍的增加，未來其不會逐個檢查資料包，而是進行高速轉發，將網上的資料都精細化到流，對流進行管理。 從而使得產品性能得以大幅度的提高。

(3)將企業常見應用加入應用層安全，比如，網康的下一代VPN產品NS-ASG會集中收發郵件，進行垃圾郵件的過濾防護，加入對應用安全的初步防護功能等等。

邵民樺表示，網康應用安全閘道NS-ASG的核心是對應用的識別、對流的管理與高速轉發。 所以，雖然當前版本的網康NS-ASG還僅僅是一個集成了IPSec VPN和SSL VPN的單純VPN二合一產品，但在未來的版本中，NS-ASG將逐步發展成為一個完善的應用安全閘道產品。 網康應用安全閘道NS-ASG將緊抓雲計算時代裡的應用安全問題，實現對應用訪問本身的安全防護，並關注應用層的安全問題。

建立企業私有雲的安全門戶

在雲計算時代，網康將關注焦點集中在私有雲的安全問題。 網康通過識別使用者身份、正確授權、阻斷非法使用者訪問進行私有雲的安全防護。 網康未來還將對企業私有雲裡的應用進行部分應用層的安全加固。

通過網康應用安全閘道NS-ASG從網路層面給企業私有雲建立安全訪問通道；從使用者層面進行存取控制，對訪問企業私有雲的使用者進行應用的存取控制；從應用層面對企業私有雲裡的各類Web應用、 電子郵件等在應用層進行安全加固實現被動式安全性漏洞防護。

對於當前企業私有雲網路最為危險APT攻擊，通過應用安全閘道NS-ASG能夠解決接入環節的安全問題，將企業內網與外網分隔開來，外部資料需要認證、授權才能進入，這樣可以抵禦來自外部的部分攻擊威脅。

網康應用安全閘道NS-ASG部署在商業網路邊界，對流量、應用進行管理。 管理從內到外和從外到內的流量，生成詳細的流量分析報告。 未來網康應用安全閘道還將根據人使用應用的情況及應用被使用的情況針對應用進行流量優化與加速。 可以說，通過管理好商業網路流量，使得流量的價值得以充分體現。

邵民樺表示，網康方面已經提出了虛擬安全網的概念，這意味著，未來企業僅需要關注「人」和「應用」即可，無需考慮網路、埠、IP位址等，降低了使用者整體使用與管理的成本。

安全作業系統讓ASG更牢固

堡壘往往容易被從內部攻破，許多硬體安全產品都需要有相應的作業系統支援，一旦作業系統存在安全性漏洞，相應安全產品就會存在安全隱患，那麼作為企業私有雲安全門戶的網康應用安全閘道NS-ASG自身的安全性如何呢？

據邵民樺介紹，網康應用安全閘道NS-ASG採用的是網康獨有的安全作業系統。 網康安全作業系統基於Linux，剔除了不需要的服務，加強了對DDoS一類攻擊的防禦，對內核進行了功能與安全上的優化。 同時，網康還對安全作業系統的使用和登錄進行了安全加固，遮罩了正常登錄埠，使用特殊的登錄埠，通過多種證書技術進行安全加固。

最後，邵民樺告訴筆者，網康將把應用安全閘道NS-ASG打造成未來企業私有雲端一道堅固的安全門戶。

(責任編輯：劉芬)