虛擬專用網絡 (VPN) 的企業選擇過去非常簡單。您必須在兩種協議和少數供應商之間進行選擇。那些日子已經一去不復返了。由于大流行,我們擁有比以往更多的遠程工作者,他們需要更復雜的保護。隨著烏克蘭戰爭的繼續,越來越多的人轉向 VPN 以繞過俄羅斯和其他威權政府強加的封鎖,例如Cloudflare 的 VPN 使用數據所示。
VPN 可能不是保護遠程工作人員的完整答案。當有關 Okta 的最新黑客攻擊和去年的 Colonial Pipeline 攻擊的新聞報道都利用被盜的 VPN 憑據或當黑客找到進入 NordVPN、TorGuard 和 VikingVPN 的途徑時,這無濟于事。
當然,VPN也有其問題,例如缺乏保護端點網絡、保護云計算時的盲點以及缺少多因素身份驗證 (MFA) 控制。那篇文章提到了保護遠程工作流程的其他幾種策略,包括擴展零信任網絡以及使用安全訪問服務邊緣工具、身份和訪問管理以及虛擬桌面等產品的組合。
VPN對企業很重要的地方
VPN 仍然很有用,對于現代大部分偏遠的工作場所來說可能是必不可少的。它們可以在以下四種情況下發揮作用:
保護公共(和家庭)網絡上的數據不被中間人攻擊截獲。加密您的網絡流量使中間商更難窺探和吸納它。
保護您的智能手機不被跟蹤,這是與上述問題不同的問題:大多數用戶的手機上沒有安裝任何 VPN 軟件。移動 VPN 產品與更安全的 DNS(如 Cloudflare 的 Warp)相結合,應該在所有企業用戶的移動設備上。
作為常旅客的有用工具,尤其是當您前往專制政權或審查特定互聯網目的地的國家時。或者,如果您需要支持偏遠地區的用戶,使用具有附近端點的 VPN 可能是有意義的。
防止您的私人數據泄露給您的 ISP,盡管您的 VPN 提供商如果沒有像應有的那樣勤奮,仍然可以獲得這些信息。
最后一項需要更多解釋,這也是 NordVPN 和其他公司受到更多審查的原因之一。可悲的是,消費者 VPN 提供商在其安全和隱私聲明方面過度承諾和交付不足,做得很糟糕。許多人大肆宣傳“軍事級安全”和“100% 不泄露數據”。這些完全是胡說八道,因為沒有通用的軍事安全標準,每個 VPN 都會以某種方式在某個地方跟蹤某些東西。另一個原因:一些 VPN 只不過是跟蹤偽裝成合法軟件的應用程序。研究人員發現了快速嵌入各種 VPN 中的俄羅斯跟蹤軟件, 其中一些針對烏克蘭用戶。
Yael Grauer 與密歇根大學的一組安全研究人員合作。Grauer 發現,在團隊測試的 16 種知名 VPN 服務中,有12 種夸大了它們可以提供多少保護。Grauer 的分析還描述了每個 VPN 泄露了哪些數據、它們保留客戶日志的時間以及在分析業務 VPN 行為時可以使用的其他詳細信息。如果您勤于使用加密電子郵件產品、連接到安全的 DNS 服務器、在我們所有的登錄中使用復雜的密碼和 MFA 并避免公共 Wi-Fi 熱點,則其中一些用例可能會得到部分滿足。這并不總是可能的,這就是為什么我們仍然需要 VPN 來保護我們的對話。
VPN 現場的明亮標志
由于大流行期間對 VPN 的廣泛興趣,它們正在變得越來越好,值得重新審視。VPN 的部分問題是忽略營銷方面的胡說八道,深入研究該技術,并在您的安全堆棧中為 VPN 找到合適的位置。事實上,它們很有幫助,尤其是與可以加密互聯網流量的軟件定義安全基礎設施結合使用時。讓我們看看最近的幾個趨勢和其他發展,并為現代企業 VPN 部署提出一些建議。
[在這份免費的 CIO 路線圖報告中了解 IT 如何利用 5G 的力量和前景。現在下載!]
首先,有更廣泛的協議領域可供選擇,使其更加靈活和吸引人。十多年前,只有兩個:IPSec和SSL。從那時起,出現了更新的協議,旨在優化連接速度和整體更好的性能。例如,IETF 發布了 Internet 密鑰交換 (IKE) 的 v2,它通過更快的重新連接改進了 IPSec 隧道,并內置在大多數當前端點操作系統中。許多企業 VPN 也支持 IKEv2,例如 Cisco 的 SSL AnyConnect 和瞻博網絡的 VPN 產品。
OpenVPN有幾個使用這個名稱的項目——協議、VPN 服務器代碼和各種客戶端。它的協議在 SSL 的基礎上進行了改進,并已被廣泛采用,有幾個專有版本供 Windscribe、Hotspot Shield、NordVPN 和 ExpressVPN 等消費者 VPN 供應商使用。IKEv2 和 OpenVPN 協議都可以使用具有 256 位加密密鑰的 AES,這是現代標準。
然后是WireGuard,它有幾個項目,包括一些消費者 VPN 也支持的協議,并提供自己的 VPN 服務器和客戶端代碼。它的支持者聲稱它比 OpenVPN 更快、更容易使用;你可以在 Linux v5.6 內核中找到它的一部分。
OpenVPN 和 WireGuard 還可以在任何 UDP(在 OpenVPN 的情況下為 TCP)端口上運行,從而使它們在國家行為者試圖阻止所有 VPN 使用的情況下更具彈性。WireGuard 還設計用于在切換 VPN 服務器時保持連接。
OpenVPN 運動的一個副產品是消費者 VPN 更加關注開源。這很好,因為更多地關注代碼意味著可以修復錯誤和數據泄漏,從而提高安全性。“開放性”有幾個方面值得探索,因為消費者 VPN 提供商在其營銷描述中對這個詞的表述有些不準確。
詢問 VPN 供應商的問題
供應商如何執行其安全審計(內部或通過中立的第三方),這些審計是如何發布的?特別是,審計可以揭示濫用數據隱私或泄露客戶數據的 VPN,以及客戶端和服務器代碼庫是否完全開放。
供應商如何發布有關各種執法互動的透明度報告?這些信息可以讓企業安全經理大致了解過去披露了哪些信息,盡管這并不能保證他們將來會做什么。
其代碼的哪些部分是開源的,哪些是專有的?這適用于客戶端和服務器版本以及各種通信協議。雖然消費者 VPN 供應商已經轉向使用開源,但大多數商業 VPN 供應商還沒有。一個值得注意的例外是Perimeter 81,它結合了 VPN、防火墻、Web 網關和其他使用一些開源的安全工具。
VPN 如何與身份和安全基礎設施產品集成?例如,Sonicwall 的 Mobile Connect 支持 Ping、Okta 和 OneLogin 身份提供商;F5 的 Big-IP Access Policy Manager 支持 FIDO U2F 令牌;Palo Alto Networks 的 Okyo Garde 與其 Prisma Access 安全邊緣產品集成。如果您配置各種產品充分利用這些更安全的方法,這使得它們對商業用途更具吸引力。
最后,一個有趣的情況是基于區塊鏈的分布式 VPN 基礎設施的興起。這是 VPN 的天然場所,可用于進一步混淆流量,并使其更難在分布式網絡中進行跟蹤(Tor 和 Onion 路由器以及 Napster 之前已經證明了這一點)。早期的領導者是來自 Sentinel.co 的基于 Android 的 dVPN。它們背后的概念是,類似區塊鏈的基礎設施可以證明 VPN 提供類似 SLA 的帶寬和特定的加密級別,并且不會泄露任何私人數據。Sentinel 提供開源、跨平臺的分布式 VPN 客戶端,他們聲稱這些客戶端具有彈性、安全性和高度可擴展性,并且可以內置到自定義應用程序中。
-
VPN
+關注
關注
4文章
292瀏覽量
29705
發布評論請先 登錄
相關推薦
評論