以 Microsoft 虛擬私人網路實作隔離服務規劃指南
第 3 章 - 問題及需求
更新日期: 2005 年 5 月 24 日
本頁內容
簡介
Woodgrove National Bank 案例
為電子通勤族實作 VPN 存取
使用 Microsoft 作業架構
簡介
使用虛擬私人網路 (VPN) 隔離以協助安全遠端存取時,組織需要實作數個順利整合並當做一個單位穩定操作的技術。為了成功達成目的,組織必須清楚了解每項技術的基本問題及需求,以及如何與其他技術互動。
本章會分析 Woodgrove National Bank 的解決方案案例,以及 Woodgrove National Bank 解決方案所遇到的問題。接下來,第 4 章<設計解決方案>會將此藍圖加入至相關需求的可接受解決方案中。
Woodgrove National Bank 案例
Woodgrove National Bank 是虛構的全球投資型銀行,為機關組織、公司行號、政府單位,以及個人客戶的居中理財角色。它的業務範圍包括金融機構所提供的安全性保險承辦、銷售、交易、財務諮詢服務、投資研究、風險資本管理,以及經紀服務。
Woodgrove National Bank 是由 WG Holding Company 完全擁有的子公司。WG Holding Company 是頂尖的全球金融服務公司,總部設在英國倫敦。WG 旗下有五家公司,包括:Woodgrove National Bank、NorthWind Trading、Contoso, Ltd.、Litware Financials 及 Humongous Insurance。這些公司全都是大型公司,各雇用超過 5,000 名的員工。
地理位置介紹
Woodgrove National Bank 全球有 60 間以上的辦事處,僱用超過 15,000 名的員工。他們擁有員工人數眾多的三個公司總部 (中心位置),包括紐約 (5,000 名員工)、倫敦 (5,200 名員工) 以及東京 (500 名員工)。每個中心位置各支援數個辦公室。
每個公司總部所服務的區域,各有一些小型次要據點 (例如北美的波士頓及亞特蘭大)。除了中心位置外,還有兩個其他主要的公司位置:雪梨及約翰尼斯堡,他們各有專用的檔案、列印及應用程式伺服器。
IT 企業組織介紹
雖然 Woodgrove National Bank 的伺服器環境同時使用 Microsoft® Windows® 與 UNIX 兩種平台,但他們的基礎架構是在 Windows Server 的骨幹上執行的。大多數的伺服器都位於紐約、倫敦及東京這三大公司總部位置。下圖會顯示公司位置的配置及彼此的連結。
圖 3.1 Woodgrove National Bank 網路環境。
Woodgrove National Bank 目前使用 Microsoft 的各種內部網路及外部網路服務產品及技術。Woodgrove National Bank 使用 Windows 2000 Active Directory® 目錄服務基礎結構,並且正在將所有網域控制站升級至 Microsoft Windows Server™ 2003。Woodgrove 沒有舊型用戶端電腦;所有桌上型及筆記型電腦都是執行 Windows 2000 Professional Service Pack 4 或更新版本,或 Windows XP Professional SP2 或更新版本的作業系統。Woodgrove National Bank IT 部門對 Windows Server 2003 具有豐富的相關經驗。
處理法規需求
Woodgrove National Bank 運作必須符合其營業所在國家/地區的相關金融法規架構的要求。此外,也必須遵守所有適用的資料保護法律並展示有效的作業安全性。
提供安全存取給遠端員工
Woodgrove National Bank 為銷售員工、IT 支援員工及公司主管,提供公司網路的遠端存取。目前的遠端存取解決方案透過私人電路,運用撥號網路連線到專用遠端存取伺服器,這些伺服器有數據機或整合式服務數位網路 (ISDN) 介面卡。相較於寬頻,特別是對國外出差的遠端使用者來說,這些連線緩慢並且昂貴。
寬頻網際網路存取日益普遍,各組織機構因此得以將 VPN 運用在遠端存取案例上。雖然這個方法會免除撥號存取並提供更佳的使用者經驗,因而節省成本,但當公司資產的資料周遊網際網路時,也會提高遭受惡意攻擊的風險。
符合管理需求
做為金融機構,Woodgrove Bank 必須符合各個國家/地區的嚴格法律需求。該銀行也必須藉由保護公司及客戶資產來維持客戶信任。Woodgrove Bank 已經實作安全電腦開端,並且已經對所有存取公司網路 (透過 LAN 及遠端連線) 的電腦設定嚴格安全性原則。
檢查軟體更新
使用現有的遠端存取解決方案,難以確保遠端電腦有最新的安全性更新,以及應用程式及作業系統的更新。Woodgrove National Bank IT 部門一直無法防止未經授權的電腦,在使用過期防毒程式或含有作用中病毒而可能感染網路的情況下進行存取。這個弱點可能使公司網路陷於危險中,並迫使 Woodgrove National Bank 將連線僅限少數使用者使用。
Woodgrove IT 部門必須克服這些挑戰,並提供一個能使遠端員工受惠,但又不致使公司網路陷於危險的安全可靠服務。本文的其餘部分會論及 Woodgrove National Bank 在處理 VPN 隔離的實作問題時所面臨的規劃要素及選擇。
為電子通勤族實作 VPN 存取
如同許多組織,Woodgrove National Bank 也發現許多主管及客戶主管每週至少在家工作一天時會更具生產力。例如,客戶主管在離開辦公室時可以寫提案、計劃會議和修改客戶聯絡資訊。Woodgrove National Bank 想要提供此在家工作選項給其他部門,但又顧慮到不符合 Woodgrove IT 部門規範的電腦連接到公司網路所帶來的風險。因此,Woodgrove IT 只允許已經加入網域之電腦的員工進行遠端連線。
營運問題
為電子通勤族規劃 VPN 存取的小組已經識別下列問題:
一致性。為了開發和部署企業層面的安全可靠遠端存取服務,所有 Woodgrove National Bank 組織及子公司必須遵守清楚定義、一致的安全性架構。
完善定義的角色及責任。Woodgrove National Bank IT 小組中的各個群組因安全服務提供方面未清楚劃分的角色和責任而備感困擾。當安全性策略浮現時,組織必須決定由誰負責遠端存取網路,這個問題就會顯而易見。經程序討論後,已獲致 IT 管理小組的權責評估。
技術問題
規劃及初始試驗階段識別出下列技術問題:
安全性更新及 hotfix 的儲存。Woodgrove IT 決定使用 Windows Update,以確保遠端存取電腦有最新的安全性更新。由於 Software Update Services (SUS) 使用幕後智慧型傳送服務 (BITS),Woodgrove 發現網際網路端 SUS 伺服器速度太慢而無法更新遠端存取電腦。Woodgrove IT 發現啟動 Internet Explorer 並將使用者導向 Windows Update,會更快達成更新,並且不會因為支援其他伺服器而增加管理負荷。
缺乏詳細警示、監視器或公制。為了讓 Woodgrove National Bank 能夠有效管理解決方案的安全性、品質、成本及使用者經驗,Woodgrove IT 支援小組需要遠端存取解決方案之服務品質的精準度量單位。Woodgrove National Bank 可以監視遠端存取伺服器效能的主要方面及一般遠端存取系統的狀態,但無法監視 VPN 連線的狀態或品質。
隔離模式中的應用程式延遲。執行隔離指令碼會產生延遲,從初始連線開始到用戶端電腦清除隔離為止。視執行隔離指令碼及傳送通知所需的時間,以及遠端存取伺服器移除隔離限制所需的時間而定,延遲時間長短不一。然而,有些應用程式會在用戶端電腦建立初始網路連線之後,隨即嘗試建立連線。如果 VPN 隔離篩選器不允許應用程式的流量,遠端存取伺服器便會中斷應用程式的啟動流量,並使應用程式失敗。遠端存取使用者應養成等到連線完成後才能啟動應用程式的習慣。
安全性問題
下列問題會影響 Woodgrove National Bank 在實作 VPN 隔離時所用的安全性策略:
無法管理遠端用戶端。Woodgrove National Bank 目前缺乏任何制定或執行的用戶端電腦標準,並且沒有方法來強制執行遠端用戶端軟體設定 (例如啟用 Windows 防火牆) 做為登入程序的一部分。
驗證軟體更新。在用戶端電腦連接到公司網路之前,Woodgrove National Bank 沒有方法來驗證用戶端電腦上防毒及其他安全性相關軟體更新的狀態。這個狀況可能使感染的遠端用戶端電腦攻擊公司資產,進而造成停機和為減輕傷害所需的成本。
解決方案需求
Woodgrove National Bank 為 VPN 隔離所實作的解決方案必須滿足下列需求:
確保所有遠端存取安全性需求符合預先定義的時間範圍,然後允許不受限制的遠端存取連線至公司網路。
確保裝置連線到公司網路時,不會被網路上的其他電腦存取。
要求連線到公司網路的每部電腦都必須符合標準化網路安全性原則。這些原則包括特定防毒程式、完全符合最新防毒病毒碼規範,及核准的安全性更新。
提供非入侵型、快速及容易使用的使用者經驗。
允許簡單並符合成本效益的用戶端軟體部署。
監視並記錄所有遠端存取活動。
提供可靠、高度可用的服務。
設定這些目標之後,Woodgrove National Bank 進行廣泛研究並檢視其設計選項。第 4 章<設計解決方案>會呈現研究結果。
使用 Microsoft 作業架構
Woodgrove National Bank 使用 Microsoft 作業架構 (MOF) 原則來管理和實作公司網路中的變更。MOF 提供一組最佳做法、原則及模型,會提供如何達成高可用性、可靠性及安全性的指引。MOF 影響的兩個主要區域是變更管理及作業。
如需有關 MOF 的詳細資訊,請參閱 TechNet 上的 Microsoft 作業架構網站,網址為:www.microsoft.com/taiwan/technet/itsolutions/techguide/mof/default.mspx。
實作變更管理
Woodgrove National Bank 的系統架構設計師意識到此規模的任何專案都需要有效規劃及管理。管理決策委員會必須監督預算、排程、解決方案元件開發,並提供專案每個階段的最後核准。
Woodgrove National Bank IT 部門在生產環境部署之前,必須測試解決方案和實作試驗部署。Woodgrove 運作於全球環境中,因此了解必須要遵守特定程序,以利變更的排程,並讓管理人員、使用者、及服務台人員能進行明確的溝通。
為了確保順利推展 VPN 隔離,Woodgrove National Bank 計劃在全球設立虛擬小組。這些小組必須密切合作,以設計、開發及測試不同案例中的設計及技術。然後,在部署期間,這些小組必須對遠端存取環境的變更進行排程、溝通及管理。
此外,Woodgrove IT 部門也必須與作業支援小組合作,通常根據對使用者或營運單位造成最小影響的當地時間,來排定變更。在大部分的遠端存取案例中,進行主要變更的最佳時間是星期一到星期五上午 9 點到下午 5 點的上班時間,因為大部分遠端存取連線會在這些時間之外發生。然而,因為 Woodgrove National Bank 有增多的使用者為了支持營運策略,而在核心上班時間進行遠端存取,因此,必須根據每個位置的有效分析,才能確保變更不會對作業造成影響。
監視作業
Woodgrove National Bank 在整個企業網路設定使用 Microsoft Operations Manager (MOM) 2005 的監視及警示架構。Woodgrove IT 必須延伸此架構,以涵蓋遠端存取解決方案的部署。在您監視 VPN 隔離之前,必須先安裝 MOM 路由及遠端存取服務管理組件 (英文),可從 www.microsoft.com/downloads/details.aspx?FamilyId=D1005486-2EEB-44A5-8196-5D4EB24F6EA0&displaylang=en 網站上下載。
為了在部署期間找出問題區域,Woodgrove National Bank 會使用資料收集及分析方法。Woodgrove National Bank IT 使用一個有助於管理服務狀態的關鍵程序元素。這個元素由監視即時資料的遠端存取儀表板 (一組視覺化的測量表) 組成。儀表板可以擷取、繪圖及反白顯示表示連線問題的單一使用者事件。
資料收集及分析對於任何主要變更期間的服務管理及服務管理功能而言極為重要。藉由結合所收集的資料、報告和服務台資料,Woodgrove National Bank IT 部門在任何時候都可以非常有信心地判斷服務的整體狀態。作業小組可以使用此資料來檢閱任何對服務造成影響的事件、產生影響與服務的關聯,並建立主動式回應計劃和服務未來的預測性。
不論是要測量每日使用情況還是要識別長期趨勢,記錄此資料都極為有用。Woodgrove IT 作業支援小組使用 Microsoft SQL Server™ 2000 及線上分析處理 (OLAP),以產生追蹤、測量和快速分析的報告:
服務的整體狀態,並且能夠集中在特定區域。
反映伺服器狀態及效能的基礎結構資料。
反映特定使用者經驗的用戶端資料,例如連線時間、初次成功、可能失敗的特定動作、使用者位置及 ISP 存取號碼。
會影響服務及使用者生產力的問題。
為了預算及規劃目的之最高作業成本的細節。
對照內部服務等級協定 (SLA) 而制定的服務台票證解決方案,藉以達成程序或文件改進目標。
這個監視及作業架構提供 Woodgrove National Bank 實作 VPN 隔離解決方案的適合環境。本手冊中的最後一章描述 Woodgrove National Bank 如何計劃 VPN 隔離的實作,以及在首展程序之前的決策。