摘要:NSA Suite B是保護(hù)企業(yè)WLAN安全性的最好方法,,它可以實(shí)現(xiàn)商業(yè)級(jí)智能手機(jī)和平板電腦的機(jī)密與非機(jī)密的VDI訪問(wèn),。
Aruba Networks已經(jīng)在產(chǎn)品是增加了National Security Agency (NSA) Suite B加密,,為政府機(jī)構(gòu)和易受攻擊的企業(yè)提供足夠穩(wěn)定的安全WLAN,。
由于黑客完全可以攻破有線對(duì)等保密協(xié)議(Wired Equivalent Privacy ,,WEP),,實(shí)際上即Wi-Fi安全協(xié)議的前身,因此很多IT人員都不信任WLAN安全性,。有些IT人員不贊同行業(yè)采用802.11i標(biāo)準(zhǔn),,即Wi-Fi 受保護(hù)接入?yún)f(xié)議(Wi-Fi Protected Access ,WPA2),。政府機(jī)構(gòu)也無(wú)法接受WPA2,,因?yàn)樗鼈兊膯T工都必須訪問(wèn)機(jī)密數(shù)據(jù)來(lái)進(jìn)行通信,這使得美國(guó)國(guó)防部和國(guó)務(wù)院等機(jī)構(gòu)都極難實(shí)現(xiàn)移動(dòng)性,。
對(duì)于實(shí)現(xiàn)非機(jī)密網(wǎng)絡(luò)的商業(yè)技術(shù),,大多數(shù)機(jī)密網(wǎng)絡(luò)往往都是使用NSA驗(yàn)證的專(zhuān)利技術(shù)創(chuàng)建,但這些技術(shù)通常已經(jīng)過(guò)時(shí)5,,6年,。為了解決這個(gè)問(wèn)題,美國(guó)國(guó)家安全機(jī)構(gòu)已經(jīng)開(kāi)發(fā)了一套新算法,,用于提高政府機(jī)構(gòu)安全信息快速共享的能力,。NSA Suite B加密技術(shù)便是該項(xiàng)目的成果。通過(guò)在他們的產(chǎn)品中實(shí)現(xiàn)Suite B,,有線和無(wú)線網(wǎng)絡(luò)供應(yīng)商都可以開(kāi)發(fā)出符合NSA安全標(biāo)準(zhǔn)的商業(yè)產(chǎn)品,。
NSA Suite B加密:政府機(jī)構(gòu)的高安全性“致勝法寶”
美國(guó)的國(guó)家核安全管理局(NSSA)是負(fù)責(zé)國(guó)家核武器軍械庫(kù)管理和安全的機(jī)構(gòu),與大多數(shù)政府機(jī)構(gòu)一樣,,它已經(jīng)為自己的機(jī)密和非機(jī)密數(shù)據(jù)建立了氣隙(air gaps),,或者稱(chēng)為物理分隔的網(wǎng)絡(luò)。對(duì)于大多數(shù)此類(lèi)機(jī)構(gòu),,不管是有線或是無(wú)線的機(jī)密網(wǎng)絡(luò)都往往使用NSA指定和開(kāi)發(fā)的專(zhuān)利硬件來(lái)建立,,才能滿足安全要求。通常,這些機(jī)構(gòu)會(huì)使用物理安全措施來(lái)限制機(jī)密網(wǎng)絡(luò)的訪問(wèn),,例如鎖定保險(xiǎn)和保管設(shè)備。
“如果到某人的辦公室去,,您有可能看到辦公室中有2,,3個(gè)獨(dú)立的計(jì)算機(jī)系統(tǒng)和2,3套獨(dú)立的網(wǎng)線,,它們都是按照各自需要連接的網(wǎng)絡(luò)部署,,而這是非常低效的,單單是更新設(shè)備和維護(hù)這些網(wǎng)絡(luò)就就是一筆巨大的開(kāi)支,,”NSSA的首席技術(shù)官J. Travis Howerton說(shuō),。
但是NSA Suite B加密是NSSA的一個(gè)“致勝法寶”。Howerton有10億美元的預(yù)算,,如果他能夠使用無(wú)線技術(shù)實(shí)現(xiàn)部分網(wǎng)絡(luò)整合,,那么他就可以減少10%-15%的開(kāi)支。同樣,,依靠安全WLAN的移動(dòng)策略可以提高員工的生產(chǎn)力,。到目前為止,他的機(jī)密WLAN安全要求已經(jīng)超過(guò)了大多數(shù)商業(yè)無(wú)線供應(yīng)商所能實(shí)現(xiàn)的水平,。“實(shí)際上,,我們現(xiàn)在采用的移動(dòng)策略是BlackBerry,”他說(shuō),。
Howerton希望為他的員工實(shí)現(xiàn)更高的安全性,。他正在考慮將虛擬桌面基礎(chǔ)架構(gòu)(VDI)和移動(dòng)性作為整合技術(shù)和提高生產(chǎn)力的方法。他的設(shè)想是使用NSA Suite B加密技術(shù)來(lái)實(shí)現(xiàn)商業(yè)級(jí)智能手機(jī)和平板電腦的機(jī)密與非機(jī)密VDI訪問(wèn),。
“我們正在考慮的是,,如何建立一個(gè)移動(dòng)基礎(chǔ)架構(gòu),同時(shí)不需要多次重復(fù)建設(shè),?通過(guò)使用Suite B,,我就可能一次性建立好我的無(wú)線基礎(chǔ)架構(gòu),并且使用相同的基礎(chǔ)架構(gòu)和布線來(lái)同時(shí)支持機(jī)密和非機(jī)密網(wǎng)絡(luò),。我們正在嘗試的另一個(gè)技術(shù)是桌面虛擬化,。如果我可以虛擬化我的桌面,并且擁有一個(gè)瘦設(shè)備,,那么我應(yīng)該能夠進(jìn)入一個(gè)網(wǎng)關(guān),,然后選擇:‘我想進(jìn)入哪個(gè)網(wǎng)絡(luò)呢,機(jī)密端還是非機(jī)密端,?’我必須能夠點(diǎn)擊并順利地進(jìn)入一個(gè)正確的環(huán)境,,它知道我正在一臺(tái)瘦客戶端上,因此不會(huì)加載任何數(shù)據(jù)到設(shè)備上。”目前,,當(dāng)NSSA工程師在現(xiàn)場(chǎng)拆除或修復(fù)核武器時(shí),,他們會(huì)被限制訪問(wèn)程序文檔。因此他們必須離開(kāi)他們的工作區(qū),,然后進(jìn)入一個(gè)文檔控制中心進(jìn)行信息檢索,。通過(guò)使用NSA Suite B加密技術(shù),NSSA就可以移動(dòng)數(shù)據(jù),,”Howerton說(shuō),。
他說(shuō),“通過(guò)Suite B,,在我的生產(chǎn)場(chǎng)地的現(xiàn)場(chǎng)移動(dòng)工作人員可以使用iPad或平板電腦設(shè)備來(lái)連接他們的虛擬桌面電腦,,從而實(shí)時(shí)獲得他們所需要的程序,其概念是將人們從他們的辦公桌前解放出來(lái),,允許他們移動(dòng)到需要他們完成工作的任何地方,,讓他們獲得可以在桌面電腦里使用的完整服務(wù)套件。我們的難點(diǎn)在于這個(gè)機(jī)密組件,,它是一直束縛我們前進(jìn)的原因,。而Suite B則可以幫我們解決這個(gè)問(wèn)題。”
NSA Suite B加密:企業(yè)WLAN安全性的替代方法
Aruba正通過(guò)它的WLAN控制器的升級(jí)軟件和虛擬內(nèi)部網(wǎng)(VIA)代理軟件——一個(gè)混合IPsec/SSL VPN客戶端,,來(lái)實(shí)現(xiàn)NSA Suite B加密,。根據(jù)Aruba的政府解決方案副總裁Dave Logan介紹,對(duì)于大多數(shù)客戶,,Suite B的每個(gè)用戶授權(quán)費(fèi)用是100美元,,而最少部署費(fèi)用為200美元。由于Suite B可以在VIA客戶端上使用,,Aruba客戶可以同時(shí)保證WLAN接入和遠(yuǎn)程接入的安全,,他說(shuō)。
其它的有線和無(wú)線網(wǎng)絡(luò)供應(yīng)商肯定也會(huì)開(kāi)始在他們自己的產(chǎn)品中部署NSA Suite B加密支持,。Fortress Systems是一家專(zhuān)門(mén)為國(guó)防部提供無(wú)線網(wǎng)絡(luò)的公司,,它已經(jīng)支持Suite B了。Howerton表示,,他也同思科探討過(guò)關(guān)于Suite B部署計(jì)劃,。目前,思科已經(jīng)在它的VPN產(chǎn)品中實(shí)現(xiàn)了Suite B,。
對(duì)于那些在WEP后期仍然對(duì)WLAN安全性心存疑慮的人們,,NSA Suite B加密可以減輕他們的擔(dān)憂。
Logan表示,,特別易受攻擊行業(yè)中的企業(yè),,例如金融服務(wù)、石油,天然氣生產(chǎn)和在線游戲等,,可能都將會(huì)支持NSA Suite B加密,。
“如果您因?yàn)榘踩珕?wèn)題而無(wú)法使用無(wú)線,據(jù)我所知,,時(shí)至今日仍然有些人持有這樣的看法,,那么您應(yīng)該立刻并且全面部署Suite B,”Farpoint Group的總裁Craig Mathias說(shuō),。Mathias預(yù)計(jì)10%-20%的企業(yè)仍然對(duì)WLAN安全持懷疑態(tài)度,。這其中有一些公司已經(jīng)部署了部分無(wú)線網(wǎng)絡(luò),,但是安全性仍然是他們常擔(dān)憂的問(wèn)題,。
他說(shuō),“他們只是簡(jiǎn)單地認(rèn)為,,因?yàn)闊o(wú)線信號(hào)可以在某段距離之內(nèi)任意地傳輸,,因此它們可能會(huì)被攔截和解密,事實(shí)上,,WPA2是非常安全的,。如果您使用802.1x作為分層認(rèn)證,并使用VPN作為較高層安全技術(shù),,那么效果更佳,。但是,如果使用了Suite B,,那么安全性會(huì)更高,。它是一種橢圓曲線型加密技術(shù),這就是BlackBerry在最近幾年一直使用的加密技術(shù),。如果這對(duì)您來(lái)說(shuō)還不夠好,,那我也沒(méi)有更好的建議了。加密已經(jīng)到了NSA所期待的Suite B水平,,這說(shuō)明這些技術(shù)水平已經(jīng)非常高了,。”