虚拟专用网络 (VPN) 的企业选择过去非常简单。您必须在两种协议和少数供应商之间进行选择。那些日子已经一去不复返了。由于大流行,我们拥有比以往更多的远程工作者,他们需要更复杂的保护。随着乌克兰战争的继续,越来越多的人转向 VPN 以绕过俄罗斯和其他威权政府强加的封锁,例如Cloudflare 的 VPN 使用数据所示。
VPN 可能不是保护远程工作人员的完整答案。当有关 Okta 的最新黑客攻击和去年的 Colonial Pipeline 攻击的新闻报道都利用被盗的 VPN 凭据或当黑客找到进入 NordVPN、TorGuard 和 VikingVPN 的途径时,这无济于事。
当然,VPN也有其问题,例如缺乏保护端点网络、保护云计算时的盲点以及缺少多因素身份验证 (MFA) 控制。那篇文章提到了保护远程工作流程的其他几种策略,包括扩展零信任网络以及使用安全访问服务边缘工具、身份和访问管理以及虚拟桌面等产品的组合。
VPN对企业很重要的地方
VPN 仍然很有用,对于现代大部分偏远的工作场所来说可能是必不可少的。它们可以在以下四种情况下发挥作用:
保护公共(和家庭)网络上的数据不被中间人攻击截获。加密您的网络流量使中间商更难窥探和吸纳它。
保护您的智能手机不被跟踪,这是与上述问题不同的问题:大多数用户的手机上没有安装任何 VPN 软件。移动 VPN 产品与更安全的 DNS(如 Cloudflare 的 Warp)相结合,应该在所有企业用户的移动设备上。
作为常旅客的有用工具,尤其是当您前往专制政权或审查特定互联网目的地的国家时。或者,如果您需要支持偏远地区的用户,使用具有附近端点的 VPN 可能是有意义的。
防止您的私人数据泄露给您的 ISP,尽管您的 VPN 提供商如果没有像应有的那样勤奋,仍然可以获得这些信息。
最后一项需要更多解释,这也是 NordVPN 和其他公司受到更多审查的原因之一。可悲的是,消费者 VPN 提供商在其安全和隐私声明方面过度承诺和交付不足,做得很糟糕。许多人大肆宣传“军事级安全”和“100% 不泄露数据”。这些完全是胡说八道,因为没有通用的军事安全标准,每个 VPN 都会以某种方式在某个地方跟踪某些东西。另一个原因:一些 VPN 只不过是跟踪伪装成合法软件的应用程序。研究人员发现了快速嵌入各种 VPN 中的俄罗斯跟踪软件, 其中一些针对乌克兰用户。
Yael Grauer 与密歇根大学的一组安全研究人员合作。Grauer 发现,在团队测试的 16 种知名 VPN 服务中,有12 种夸大了它们可以提供多少保护。Grauer 的分析还描述了每个 VPN 泄露了哪些数据、它们保留客户日志的时间以及在分析业务 VPN 行为时可以使用的其他详细信息。如果您勤于使用加密电子邮件产品、连接到安全的 DNS 服务器、在我们所有的登录中使用复杂的密码和 MFA 并避免公共 Wi-Fi 热点,则其中一些用例可能会得到部分满足。这并不总是可能的,这就是为什么我们仍然需要 VPN 来保护我们的对话。
VPN 现场的明亮标志
由于大流行期间对 VPN 的广泛兴趣,它们正在变得越来越好,值得重新审视。VPN 的部分问题是忽略营销方面的胡说八道,深入研究该技术,并在您的安全堆栈中为 VPN 找到合适的位置。事实上,它们很有帮助,尤其是与可以加密互联网流量的软件定义安全基础设施结合使用时。让我们看看最近的几个趋势和其他发展,并为现代企业 VPN 部署提出一些建议。
[在这份免费的 CIO 路线图报告中了解 IT 如何利用 5G 的力量和前景。现在下载!]
首先,有更广泛的协议领域可供选择,使其更加灵活和吸引人。十多年前,只有两个:IPSec和SSL。从那时起,出现了更新的协议,旨在优化连接速度和整体更好的性能。例如,IETF 发布了 Internet 密钥交换 (IKE) 的 v2,它通过更快的重新连接改进了 IPSec 隧道,并内置在大多数当前端点操作系统中。许多企业 VPN 也支持 IKEv2,例如 Cisco 的 SSL AnyConnect 和瞻博网络的 VPN 产品。
OpenVPN有几个使用这个名称的项目——协议、VPN 服务器代码和各种客户端。它的协议在 SSL 的基础上进行了改进,并已被广泛采用,有几个专有版本供 Windscribe、Hotspot Shield、NordVPN 和 ExpressVPN 等消费者 VPN 供应商使用。IKEv2 和 OpenVPN 协议都可以使用具有 256 位加密密钥的 AES,这是现代标准。
然后是WireGuard,它有几个项目,包括一些消费者 VPN 也支持的协议,并提供自己的 VPN 服务器和客户端代码。它的支持者声称它比 OpenVPN 更快、更容易使用;你可以在 Linux v5.6 内核中找到它的一部分。
OpenVPN 和 WireGuard 还可以在任何 UDP(在 OpenVPN 的情况下为 TCP)端口上运行,从而使它们在国家行为者试图阻止所有 VPN 使用的情况下更具弹性。WireGuard 还设计用于在切换 VPN 服务器时保持连接。
OpenVPN 运动的一个副产品是消费者 VPN 更加关注开源。这很好,因为更多地关注代码意味着可以修复错误和数据泄漏,从而提高安全性。“开放性”有几个方面值得探索,因为消费者 VPN 提供商在其营销描述中对这个词的表述有些不准确。
询问 VPN 供应商的问题
供应商如何执行其安全审计(内部或通过中立的第三方),这些审计是如何发布的?特别是,审计可以揭示滥用数据隐私或泄露客户数据的 VPN,以及客户端和服务器代码库是否完全开放。
供应商如何发布有关各种执法互动的透明度报告?这些信息可以让企业安全经理大致了解过去披露了哪些信息,尽管这并不能保证他们将来会做什么。
其代码的哪些部分是开源的,哪些是专有的?这适用于客户端和服务器版本以及各种通信协议。虽然消费者 VPN 供应商已经转向使用开源,但大多数商业 VPN 供应商还没有。一个值得注意的例外是Perimeter 81,它结合了 VPN、防火墙、Web 网关和其他使用一些开源的安全工具。
VPN 如何与身份和安全基础设施产品集成?例如,Sonicwall 的 Mobile Connect 支持 Ping、Okta 和 OneLogin 身份提供商;F5 的 Big-IP Access Policy Manager 支持 FIDO U2F 令牌;Palo Alto Networks 的 Okyo Garde 与其 Prisma Access 安全边缘产品集成。如果您配置各种产品充分利用这些更安全的方法,这使得它们对商业用途更具吸引力。
最后,一个有趣的情况是基于区块链的分布式 VPN 基础设施的兴起。这是 VPN 的天然场所,可用于进一步混淆流量,并使其更难在分布式网络中进行跟踪(Tor 和 Onion 路由器以及 Napster 之前已经证明了这一点)。早期的领导者是来自 Sentinel.co 的基于 Android 的 dVPN。它们背后的概念是,类似区块链的基础设施可以证明 VPN 提供类似 SLA 的带宽和特定的加密级别,并且不会泄露任何私人数据。Sentinel 提供开源、跨平台的分布式 VPN 客户端,他们声称这些客户端具有弹性、安全性和高度可扩展性,并且可以内置到自定义应用程序中。
全部0条评论
快来发表一下你的评论吧 !