企业的外延化和虚拟化,简单来说就是一个把企业外部变成内部,同时把内部变成外部的一个过程,很显然,安全将是决定成败的分水岭。
外延企业和虚拟公司都是网络催生的时髦词汇,也是众多专家眼中未来的商业形态。组建一家外延企业,实际上就是把你所有的商业伙伴,包括员工、客户、供应商等,变成你组织的一部分——把它们通过技术和数据交换而组合到一起。
由于涉及到跨越多种异构平台,以及不同的公用或专用网络,安全问题变得非常突出。为了方便商业伙伴的访问与交流,我们无法再建立统一、封闭而森严的壁垒,但是,外延企业的安全与否,又取决于最薄弱的环节。那么,怎样让你的全体企业合作伙伴和你一样认真对待安全威胁?怎样建立可靠的VPN网络使远程访问安全无忧呢?
安全契约与统一管理
闲人免进
如果你计划成为北卡罗莱纳州南尔斯顿大学(CSU)的合作伙伴,那你首先要做好接受严格审查,并且签署一份安全契约的准备。当涉及安全问题时,他们的CIO Rusty Bruns可是个一丝不苟的人。
Bruns最大的担心是黑客通过安全漏洞,侵入其庞大的数据库,偷窃重要数据以及几千名学生和校友的个人与财务信息。Bruns说:“必须有意识地尽最大努力避免这种事情的发生。我们已经做了预算以及市场上的技术所允许做的一切事情,来保护这些信息。”
Bruns建立安全的信心,很大一部分是由于他每隔一年到一年半审计CSU的网络,让所有潜 在的合作伙伴接受一次彻底的第三方审查。他甚至把外部审查费用编入了预算,以防潜在的合作伙伴无力承担审查的费用。他所采集的信息包括:口令更新频率、防火墙监测程序以及发现的安全漏洞或访问漏洞。
一旦合作伙伴通过了严格的审查,并修补了审查期间发现的重要漏洞后,他会让所有的项目成员签署一项安全契约。这些成员签字画押,保证采取多种安全防范措施,如经常修改口令,并且同意不泄露任何共享信息。然后,Bruns检查合作伙伴的推荐人,直接询问有关该机构如何处理安全性的问题。
甚至在对可以信任的潜在合作伙伴时,Bruns也坚持只通过直接链路扩展CSU网络,并使用两级专用口令并加密所有的传输数据。他认为,所有这一切都是取得高水平安全性的根本保证。
伙伴网络
波士顿金融服务机构Eaton Vance基础设施服务副总裁Vinnie Cottone采取另外一种不同的作法。他是开展合作的积极提倡者,他不想限制很多公司访问其网络。为此,他建立了“业务合作伙伴网”。
业务合作伙伴网目前已扩展到大约40位合作伙伴,包括一家运营Eaton Vance呼叫中心的外包商和另一家维护该机构客户数据记录的服务商。此外,提供财务数据的250家公司也连接在Eaton Vance网络上。与Bruns做法相同的是,任何加盟Eaton Vance的公司也都必须签署一份安全契约。
Cottone说:“所有机构都有自己的基础设施。我们不能要求他们在网络中如何进行管理,因此安全责任由我们的企业负责,而不是我们的合作伙伴。我们必须找到如何做到这点的方法。”鉴于目前病毒和蠕虫泛滥成灾以及日益增多的黑客攻击,寻找这种措施变得日渐紧迫。
签约加入Eaton Vance业务合作伙伴网的机构,可以从一张连接选项菜单中自由选择。其中不仅包括DMZ,还有基于Web的应用、一些专用线路(它取决于试图推广的应用)。Cottone认为,在金融服务领域,“大趋势是全面Internet化,抛弃专用链路设施。”
Eaton Vance同时采用入侵检测和响应系统。如果他检测到一条链路存在的问题,就关闭这个端口,将合作伙伴转移到一个隔离区来确定原因。Cottone说:“重要的是将他们从生产区域转移走。”
Cottone同样也会定期审查他的网络。Enterasys Networks公司技术营销经理Mark Townsend说,对一家外延企业来说,经常的审计应当是必须的工作,但它们常常不是。他说:“我看到过我们客户签订的合同,在合同中根本没有规定对网络进行测试。”
终结VPN抑郁症
对于外延企业所需要的远程访问来说。VPN是一项非常重要的技术,然而很多用户却对它心存恐惧:如果允许用户家里的计算机通过VPN与企业办公室连接,那么结果就像为一个无法控制安全的计算机开放了一个大口子。很明显,如果这个用户的家庭计算机处于危险之中,那么,VPN就为对公司网络的直接攻击提供了通道。
获奖者的经验
由于构建了能够全面推进远程访问的大规模SSL VPN,National Gypsum公司赢得了2004年外延企业创新奖。
National Gypsum公司是一家壁板制造商,其公司使命是提供“全面的优质服务”。通过长达5年多外延企业的努力,可以远程利用商业数据和应用的个人的数量已从150名员工增加至包括员工、零售商和运输公司在内的9000多人。该公司由此受益匪浅,负责该公司电子商务的高级经理Mike Brannon说:“在一个高度商品化的行业里,外延企业改进了客户服务以及大幅度地提高了服务的反应速度和发货信息的可用性,这使我们产品更受欢迎。”
National Gypsum公司向外延企业的转变始于1997年。当时,该公司在其总部所在地北卡罗来纳州建立了一个先进的呼叫中心,并开始从通过传真和邮件发送的纸制订单和发票,向在线订单输入和发票转变。客户们不再是通过纸张与本地销售办事处打交道了,而是开始与呼叫中心基于Web的代理做生意。 Brannon表示,National Gypsum公司于2001年完成了从地区办事处向全国性呼叫中心的转变,如今,86%的发票都是通过电子形式发送的,该公司的目标是在不久之后在其开具发票的过程当中取消所有纸张。
在其下一阶段的外延企业发展过程当中,National Gypsum公司为销售代表提供了远程访问, 这样,他们就可以直接发订单、检查发票和跟踪发货情况。在该项目开始阶段,佛罗里达的数十位销售代表首先使用了3Com公司生产的远程访问设备以及免费号码拨号设备。
由于有了远程访问,National Gypsum公司不再需要保留太多的具体的办事处了,而且,到今年为止,该公司已关闭了67家办事处。通过从某些州撤出具体的办事处,为该公司省去了大量的房租、水电费以及在一些情况下的税费。如今,该公司的150名销售代理变成了远程工作人员,反过来,这使得National Gypsum公司在寻找新的技术以满足其不断增长的需求时,能够连续部署三项不同的远程访问技术。