企业的外延化和虚拟化,简单来说就是一个把企业外部变成内部,同时把内部变成外部的一个过程,很显然,安全将是决定成败的分水岭。
外延企业和虚拟公司都是网络催生的时髦词汇,也是众多专家眼中未来的商业形态。组建一家外延企业,实际上就是把你所有的商业伙伴,包括员工、客户、供应商等,变成你组织的一部分――把它们通过技术和数据交换而组合到一起。
由于涉及到跨越多种异构平台,以及不同的公用或专用网络,安全问题变得非常突出。为了方便商业伙伴的访问与交流,我们无法再建立统一、封闭而森严的壁垒,但是,外延企业的安全与否,又取决于最薄弱的环节。那么,怎样让你的全体企业合作伙伴和你一样认真对待安全威胁?怎样建立可靠的VPN网络使远程访问安全无忧呢?
安全契约与统一管理
闲人免进
如果你计划成为北卡罗莱纳州南尔斯顿大学(CSU)的合作伙伴,那你首先要做好接受严格审查,并且签署一份安全契约的准备。当涉及安全问题时,他们的CIO Rusty Bruns可是个一丝不苟的人。
Bruns最大的担心是黑客通过安全漏洞,侵入其庞大的数据库,偷窃重要数据以及几千名学生和校友的个人与财务信息。Bruns说:“必须有意识地尽最大努力避免这种事情的发生。我们已经做了预算以及市场上的技术所允许做的一切事情,来保护这些信息。”
Bruns建立安全的信心,很大一部分是由于他每隔一年到一年半审计CSU的网络,让所有潜 在的合作伙伴接受一次彻底的第三方审查。他甚至把外部审查费用编入了预算,以防潜在的合作伙伴无力承担审查的费用。他所采集的信息包括:口令更新频率、防火墙监测程序以及发现的安全漏洞或访问漏洞。
一旦合作伙伴通过了严格的审查,并修补了审查期间发现的重要漏洞后,他会让所有的项目成员签署一项安全契约。这些成员签字画押,保证采取多种安全防范措施,如经常修改口令,并且同意不泄露任何共享信息。然后,Bruns检查合作伙伴的推荐人,直接询问有关该机构如何处理安全性的问题。
甚至在对可以信任的潜在合作伙伴时,Bruns也坚持只通过直接链路扩展CSU网络,并使用两级专用口令并加密所有的传输数据。他认为,所有这一切都是取得高水平安全性的根本保证。
伙伴网络
波士顿金融服务机构Eaton Vance基础设施服务副总裁Vinnie Cottone采取另外一种不同的作法。他是开展合作的积极提倡者,他不想限制很多公司访问其网络。为此,他建立了“业务合作伙伴网”。
业务合作伙伴网目前已扩展到大约40位合作伙伴,包括一家运营Eaton Vance呼叫中心的外包商和另一家维护该机构客户数据记录的服务商。此外,提供财务数据的250家公司也连接在Eaton Vance网络上。与Bruns做法相同的是,任何加盟Eaton Vance的公司也都必须签署一份安全契约。
Cottone说:“所有机构都有自己的基础设施。我们不能要求他们在网络中如何进行管理,因此安全责任由我们的企业负责,而不是我们的合作伙伴。我们必须找到如何做到这点的方法。”鉴于目前病毒和蠕虫泛滥成灾以及日益增多的黑客攻击,寻找这种措施变得日渐紧迫。
签约加入Eaton Vance业务合作伙伴网的机构,可以从一张连接选项菜单中自由选择。其中不仅包括DMZ,还有基于Web的应用、一些专用线路(它取决于试图推广的应用)。Cottone认为,在金融服务领域,“大趋势是全面Internet化,抛弃专用链路设施。”
Eaton Vance同时采用入侵检测和响应系统。如果他检测到一条链路存在的问题,就关闭这个端口,将合作伙伴转移到一个隔离区来确定原因。Cottone说:“重要的是将他们从生产区域转移走。”
Cottone同样也会定期审查他的网络。Enterasys Networks公司技术营销经理Mark Townsend说,对一家外延企业来说,经常的审计应当是必须的工作,但它们常常不是。他说:“我看到过我们客户签订的合同,在合同中根本没有规定对网络进行测试。”
终结VPN抑郁症
对于外延企业所需要的远程访问来说。VPN是一项非常重要的技术,然而很多用户却对它心存恐惧:如果允许用户家里的计算机通过VPN与企业办公室连接,那么结果就像为一个无法控制安全的计算机开放了一个大口子。很明显,如果这个用户的家庭计算机处于危险之中,那么,VPN就为对公司网络的直接攻击提供了通道。
获奖者的经验
由于构建了能够全面推进远程访问的大规模SSL VPN,National Gypsum公司赢得了2004年外延企业创新奖。
National Gypsum公司是一家壁板制造商,其公司使命是提供“全面的优质服务”。通过长达5年多外延企业的努力,可以远程利用商业数据和应用的个人的数量已从150名员工增加至包括员工、零售商和运输公司在内的9000多人。该公司由此受益匪浅,负责该公司电子商务的高级经理Mike Brannon说:“在一个高度商品化的行业里,外延企业改进了客户服务以及大幅度地提高了服务的反应速度和发货信息的可用性,这使我们产品更受欢迎。”
National Gypsum公司向外延企业的转变始于1997年。当时,该公司在其总部所在地北卡罗来纳州建立了一个先进的呼叫中心,并开始从通过传真和邮件发送的纸制订单和发票,向在线订单输入和发票转变。客户们不再是通过纸张与本地销售办事处打交道了,而是开始与呼叫中心基于Web的代理做生意。 Brannon表示,National Gypsum公司于2001年完成了从地区办事处向全国性呼叫中心的转变,如今,86%的发票都是通过电子形式发送的,该公司的目标是在不久之后在其开具发票的过程当中取消所有纸张。
在其下一阶段的外延企业发展过程当中,National Gypsum公司为销售代表提供了远程访问, 这样,他们就可以直接发订单、检查发票和跟踪发货情况。在该项目开始阶段,佛罗里达的数十位销售代表首先使用了3Com公司生产的远程访问设备以及免费号码拨号设备。
由于有了远程访问,National Gypsum公司不再需要保留太多的具体的办事处了,而且,到今年为止,该公司已关闭了67家办事处。通过从某些州撤出具体的办事处,为该公司省去了大量的房租、水电费以及在一些情况下的税费。如今,该公司的150名销售代理变成了远程工作人员,反过来,这使得National Gypsum公司在寻找新的技术以满足其不断增长的需求时,能够连续部署三项不同的远程访问技术。
艰难的起步
最初,National Gypsum公司为其销售人员配备了笔记本电脑,并让他们通过一个免费号码拨打配有16条线路的3Com Total Control远程访问服务器。销售人员在这里下载其电子邮件,然后,退出服务器,以阅读电子邮件和撰写电子邮件回复函。
在18个月之内,该公司用Microsoft Access、Office以及使用Citrix瘦客户机软件和服务器的自产的客户销售/客户服务来充实其远程访问菜单。不久之后,该公司又增加了终端仿真。他表示,当市场营销人员、工程师和其他工作人员也发现拓宽了的应用访问非常有用之后,这些邻近部门使用拨号远程访问的650至700人也迅速地加入到了这个行列。
Brannon说:“未曾预料到的一个影响就是,突然之间,这些人员在线的时间太多了,而以前人们只是拨号之后马上就下线了。如果你使用800号码访问的方式这么做,那么,你得为此为这些在线人员用于思考的每一分钟付费。”
Brannon称,至2001年,这个免费号码访问的月账单已从当初的3万美元增至每月6万美元。他表示,为客户提供拨号访问从成本的角度来讲应该是被禁止的。他说:“我们意识到,当我们的免费拨号访问规模扩大之后,我们已无法承受得起了。”
该公司认为远程访问IPSec VPN可以降低免费拨号费用,因为雇员们可以通过Internet进行访问,其费用是统一的服务费,本地电话免费。因此,2001年晚些时候,National Gypsum公司安装了一个Cisco 3005 VPN集中器,这个VPN把每月的连接费用从6万美元降至了6千美元。
曲折的道路
但是,由于VPN要求在每个终端用户设备上进行恰当的VPN软件配置,因此,VPN并不太适合于用来把访问扩展至客户和物流合作伙伴――即那些向客户发送产品的运输公司。Brannon说:“我们实际上不可能到我们的物流合作伙伴以及我们的外部客户那里去对它们说:“你们必须在和我们连接的设备上,把这些软件按我们要求设置妥当。”
因此,虽然该公司为其雇员提供的是基于IPSec VPN的访问,然而,该公司为其外部用户提供的却是基于Internet的远程访问,而这种远程访问使用的是出自Axent技术公司(后来被Symantec公司收购)的软件。Brannon称,这种可以在大多数类型设备上安装的软件充当的是位于该公司的Web服务器前方的反向代理,这样就可以防止把这些服务器暴露给Internet。
Brannon称,最终,总共有250位客户使用这种系统,然而,这种软件的许可证费用证明太昂贵了,以致于无法把它推广至该公司希望的数千位用户。
2002年,Brannon转向了出自VPN专业公司Neoteris公司(后来被NetScreen公司所收购,NetScreen目前已属于Juniper)的SSL远程访问设备。这种VPN允许在不需要其他任何客户机软件的情况下,通过标准的Web浏览器,进行安全的Internet访问。从许可证费用的角度来看,它对可以访问该网关的独立用户的数量并没有设置任何限制。相反,许可证是建立在该网络同时可以支持的用户数量的基础之上的。Brannon称,SSL VPN对于National Gypsum公司来说是一项完美的选择。
成功的外延企业
National Gypsum公司已经把250个 Axent和350个 Cisco VPN用户迁移至SSL两年时间了,并把授权用户的总数扩展至9千多人。Brannon称,
