Portale aplikacyjne SSL VPN

W zastosowaniach zdalnego dostępu systemy SSL VPN są łatwiejsze w użyciu i jako kompleksowe rozwiązanie oferują wyższy poziom bezpieczeństwa od konwencjonalnych systemów VPN. Rozwiązania SSL VPN zostały zaprojektowane w taki sposób, aby łatwo udostępniać określone aplikacje i dane systemu informatycznego i jednocześnie zapewniać im najwyższy poziom ochrony. Użytkownicy korzystają z portali SSL VPN za pomocą zwykłych przeglądarek Web.

W portalu SSL VPN zaimplementowana została koncepcja adaptacyjnej polityki bezpieczeństwa. Uprawnienia użytkowników są ustalane w formie szczegółowej polityki dostępu do zasobów systemu informatycznego, opartej o role (role-based policy). Użytkownicy przed uzyskaniem dostępu do zasobów systemu informatycznego logują się do portalu, gdzie widzą tylko te aplikacje, do którym zgodnie z ustalaną na bieżąco polityką bezpieczeństwa posiadają uprawnienia. Prawa dostępu określonego użytkownika są ustalane w zależności od wielu czynników, m.in.:

• uprawnień nadanych dla użytkowników i grup,
• aktualnego miejsca przebywania użytkownika,
• zastosowanej metody uwierzytelniania,
• stanu bezpieczeństwa komputera użytkownika.

Portal aplikacyjny SSL VPN dodatkowo podwyższa wśród użytkowników świadomość istnienia środków nadzoru i konieczności przestrzegania zasad bezpieczeństwa (np. poprzez odpowiednio przygotowany układ interfejsu GUI oraz komunikaty i ostrzeżenia).

W portalu aplikacyjnym SSL VPN nie występują problemy typowe dla IPSec. Komunikacja odbywa się za pomocą popularnego protokołu SSL (TCP-443), który w większości sieci dostępowych jest zezwolony (np. stanowiska dostępu do Internetu w hotelach, na lotniskach, itp.). Dla SSL nie stanowi problemu translacja adresów na drodze VPN, ani też nadawane dynamicznie adresy IP z klasy prywatnej. Dostęp do zasobów systemu informatycznego wymaga od użytkownika zalogowania się do portalu za pomocą przeglądarki Web. Korzystanie z zasobów może odbywać się przez wbudowane w bramę SSL VPN aplikacje klienckie (np. klient poczty, klient terminala Telnet/SSH, klient systemu plików MS Windows lub NFS), bądź też za pomocą typowych aplikacji systemu informatycznego na zasadach analogicznych jak w sieci lokalnej.

Portale SSL VPN otwierają nowe możliwości budowania systemów e-commerce. Dzięki specjalizowanym urządzeniom SSL VPN tworzenie systemu do prowadzenia handlu elektronicznego jest łatwiejsze. Jedno urządzenie zabezpieczeń może posłużyć przy tym do zapewnienia dostępu i ochrony dla wielu aplikacji i firm (np. sklepów internetowych). Klienci systemu e-commerce najpierw logują się w portalu SSL VPN i po pozytywnym uwierzytelnieniu uzyskują dostęp od usług systemu. Fizyczne odseparowanie procesu logowania użytkowników i świadczenia usług stanowi duże wzmocnienie bezpieczeństwa. Intruzi nie mają bowiem możliwości bezpośredniego zaatakowania serwerów aplikacyjnych e-commerce. 

Urządzenia SSL VPN przy uwierzytelnianiu sesji mogą korzystać z wielu certyfikatów i obsługiwać wiele urzędów certyfikacji CA. Dane identyfikujące i potwierdzające tożsamość użytkownika mogą zostać przekazane z urządzenia SSL VPN do serwerów dostępowych Web aplikacji e-commerce tak, aby klienci nie musieli tego robić dwukrotnie. Wsparcie dla mechanizmu jednokrotnego uwierzytelniania SSO podnosi wygodę użytkowania portalu. Istotną zaletą jest także odciążenie serwerów aplikacji z wykonywania operacji kryptograficznych SSL. Operacje te wykonywane są przez urządzenie dostępowe SSL VPN. Wydajnościowo dobrej klasy urządzenia dostępowe potrafią obsługiwać nawet do 5000 jednocześnie pracujących użytkowników.

W ofercie CLICO znajdują się najbardziej liczące się na rynku rozwiązania SSL VPN jak Juniper Networks Secure Access czy Check Point Connectra.