小投入大回報 廣域網加密不可或缺
2010/10/14
我的一位同事曾問我,“你的車停在了哪里?”我告訴他我的車停放的位置。然后,他又問我,你怎么知道車仍在停留在原來的位置,難道有些愛開玩笑的家伙不會將你的車弄到別處嗎?此類事情曾經發生在我身上,所以我知道這是可能的。然后,他又問道,“如果一些家伙把你的車移到了一個位置,而另外一些家伙又將你的車移到了原來的位置,你又怎么會知道?”其實,這個問題可以在網絡安全領域中出現。你怎么保證期望發生的事情真得會發生呢?廣域網的一個問題是:怎樣才足夠安全呢?一旦數據離開你的網絡,你又怎會知道它會發生什么事情?如果不加密的數據離開網絡后被人竊取了,這該如何是好?
如果你與電信公司的廣域網服務工作人員交談,其VPN的定義將是覆蓋網絡,由共享架構上的另外一個網絡所承載。電信公司對于VPN的定義不同于VPN作為兩節點間的認證和加密的第三層隧道這個定義,一個節點即一個網絡。電信公司的定義假定電信公司的雇員是值得信任的。后一個定義并不在乎電信公司的雇員是否值得信任。
上面關于電話的例子可能有點兒離題,但卻能說明問題。但是,電信公司的工作人員總在談論幀中繼或MPLS VPN,如果你認為這些技術是安全的,你就錯了。這些技術所涉及的安全,其意義是雇員并不會嗅探通信,并且運用了第二層和第三層的技術對不同的通信進行了分離,還有,電信公司要部署一套過程,以保證不會發生未授權的數據或服務操作。筆者并不是說電信公司不可信,也不是說你未加密的幀中繼或MPLS VPN不會被嗅探。這里的意思是你并不能保證你的數據不會被任何人嗅探,因而,在將數據交付WAN之前需要對通信進行加密。
這應當成為標準的操作進程,但是我們常聽說不同公司的IT管理員將敏感數據通過電信公司所定義的VPN進行傳輸。PCI(付款卡行業)的數據安全標準等規范使大眾理解了網絡加密的必要性,但是從IT管理員的觀念來看,他們相信電信公司會保護自己的數據流。當然,我們不能想當然地認為電信公司的工作人員不可信任,也不能認為他們會嗅探客戶的數據。
與購買其它的服務或設備相比,無論是在第三層的VPN還是在第二層進行數據加密,其成本都不太高。加密的性能如今已經到達了較高的水平,網絡加密不再成為網絡操作的瓶頸或阻礙,當然,提前條件是加密是數據包進入廣域網之前的最后過程,是數據包從廣域網傳輸過來的第一步。事實上,即使是IP報頭信息(如QoS標記)也可以從加密的數據包被傳輸到外部的數據包,所以基于電信公司的處理仍可強化。不管你是否管理自己的VPN加密,或是將其外包給某家服務供應商,你都沒有理由不對數據加密,無論這些數據是否經過互聯網,或是經過電信公司的VPN服務。
選擇數據加密和保護方案的理想標準應是高可靠性、高吞吐量、低延遲性,只有這樣才能有效地保護語音和視頻等動態數據。
