SSL VPN的改變

SSL VPN最早主要是做為Client to Site的應用，藉助瀏覽器的SSL加密機制，使用者透過瀏覽器即可由外部安全地連結企業內部系統。相較於IPsec VPN需要在使用者的電腦安裝代理程式，才能建立起VPN通道，SSL VPN因為不需要預先安裝、設定代理程式，用戶端的部署與後續的維護上幾乎不會造成IT人員的負擔，因而以其做為Client to Site的應用時，可充分發揮便利性。

從新一代SSL VPN閘道器來看，則可發現SSL VPN闡道器不只是能利用反向代理機制，提供Client to Site的應用，亦可同時提供通道模式，建立起Site to Site的應用，就如同IPsec的應用型式一樣。
終端安全亦是新一代SSL VPN閘道器功能強化的部分。企業一旦提供了VPN服務，安全防護邊界其實就延伸到用戶端的電腦，如果這個安全防護邊界沒有站著衛兵在防守，那麼安全威脅就會從VPN滲入。例如使用者的筆電或家用電腦已經中毒，但使用者不察，仍以該電腦連線企業VPN，如果企業在VPN這一端沒有過濾、防阻，那麼病毒就可能由此管道潛入企業。

另一種問題則是資料安全，員工若能從外部電腦連線進公司，那麼公司的資料就很容易會留在外部電腦裏，即使員工無意竊取資料，然而資料留在外部電腦裏，亦有可能被其他人所利用，例如筆電若不慎遺失。

對於這個問題， SSL VPN閘道器的因應方式可分為幾種，其一是結合NAC（Network Access Control）終端防護機制，管制終端電腦的安全狀態與存取行為；另一種則是隔離桌面，利用沙箱技術的概念，當使用者透過SSL VPN連線企業系統時，其運作會移到一個隔離的沙箱環境裏，使用者在連線過程中所使用的資料都儲存在這個受到特別保護的沙箱，一旦連線結束後，沙箱會自動刪除，使其資料不會遺留在電腦裏。

除了保護資料安全，亦有廠商提供更精細的管控，例如限制使用者在以SSL VPN連線時，只允許執行特定的應用程式，甚至為了預防應用程式偽裝的問題，亦加上雜湊演算來為應用程式驗明正身。

除此，隨著智慧型手機、平板電腦等新興終端連線設備的興起，有幾家廠商也開始提供因應方案，提供專屬的VPN手機程式與手機瀏覽介面。由於手機的螢幕較小，在手機上看一般標準的網頁，時常必須縮放、移動頁面才能看得清楚，然而操作起來就不便利。若企業裏以行動裝置連線的情況增多，勢必會面臨SSL VPN使用介面必須調整的問題。

在本期的SSL VPN採購特輯中，我們一共測試了5款SSL VPN閘道器，其功能定位與適用規模都不盡相同，藉由功能的檢視，將可進一步對SSL VPN閘道器的現況有個全盤的了解。

此外，本期我們特別採訪到全球最大拍賣網站eBay的分析平臺高級總監Oliver Ratzesberger，他說明了eBay在資料分析應用上如何克服近年來資料量快速增長的問題（從每年10TB到每日50TB的資料成長速度），以及在非結構化資料分析需求日益增多的情況下，eBay所採取的因對措施。