Ein virtuelles privates Netzwerk (VPN) kann zum Schutz von Daten und zur Verwaltung des Benutzerzugriffs beitragen. Es gibt jedoch Alternativen zur Verwendung von VPNs.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein virtuelles privates Netzwerk (VPN) ist ein Internet-Sicherheitsservice, mit dem Benutzer so auf das Internet zugreifen können, als wären sie mit einem privaten Netzwerk verbunden. VPNs verwenden Verschlüsselung, um eine sichere Verbindung über eine ungesicherte Internetinfrastruktur herzustellen.
VPNs sind eine Möglichkeit, Unternehmensdaten zu schützen und den Benutzerzugriff auf diese Daten zu verwalten. VPNs schützen Daten, wenn Benutzer über das Internet mit Anwendungen und Websites interagieren, und sie können bestimmte Ressourcen verborgen halten. Sie werden häufig für die Zugriffskontrolle verwendet – andere Lösungen für die Identitäts- und Zugriffsverwaltung (IAM) können jedoch ebenfalls bei der Verwaltung des Benutzerzugriffs helfen.
Verschlüsselung ist eine Möglichkeit, Daten so unkenntlich zu machen, dass nur autorisierte Parteien die Informationen verstehen können. Die lesbare Daten werden so verändert, dass sie für Angreifer und jeden anderen, der sie abfängt, zufällig erscheinen. Auf diese Weise ist die Verschlüsselung wie ein „Geheimcode“.
Ein VPN stellt verschlüsselte Verbindungen zwischen Geräten her. (VPNs verwenden häufig die Verschlüsselungsprotokolle IPsec oder SSL/TLS). Alle Geräte, die sich mit dem VPN verbinden, richten Verschlüsselungsschlüssel ein. Diese Schlüssel werden zum Verschlüsseln und Entschlüsseln aller zwischen ihnen gesendeten Informationen verwendet. Dieser Prozess kann zu einer geringen zusätzlichen Latenz bei Netzwerkverbindungen führen, die den Netzwerk-Traffic verlangsamt (weitere Informationen über VPN-Performance).
Diese Verschlüsselung bewirkt, dass VPN-Verbindungen auch dann privat bleiben, wenn sie sich über die öffentliche Internetinfrastruktur erstrecken. Stellen Sie sich vor, Alice arbeitet im Home-Office und verbindet sich mit dem VPN ihres Unternehmens, damit sie auf eine Unternehmensdatenbank zugreifen kann, die auf einem 100 Kilometer entfernten Server gespeichert ist. Gehen wir davon aus, dass alle ihre Anfragen an die Datenbank sowie die Antworten der Datenbank über einen dazwischen liegenden Internet-Knoten (IXP) laufen. Nehmen wir nun an, dass ein Krimineller diesen IXP heimlich infiltriert hat und alle durchlaufenden Daten überwacht (ähnlich wie beim Abhören einer Telefonleitung). Die Daten von Alice sind wegen des VPN immer noch sicher. Alles, was der Kriminelle sehen kann, ist die verschlüsselte Version der Daten.
Nehmen wir an, im Bürogebäude von Acme Co. gibt es zwei Server: Server A und Server B. Acme Co. verwendet kein WLAN, sodass alle Geräte Ethernet-Kabel für den Netzwerkzugriff verwenden müssen. Server A ist physisch über Kabel und Router mit einem Netzwerk von Geräten verbunden, das Desktop-Computer und den Bürodrucker umfasst.
Wer nicht physisch mit dem Netzwerk von Server A verbunden ist, kann keine Verbindung mit Server A herstellen. Gleiches gilt für Server B. Wenn Bob ein auf Server A gespeichertes Dokument über den Bürodrucker ausdrucken möchte, muss er seinen Desktop-Computer an das richtige Netzwerk anschließen, bevor er auf Server A und den Drucker zugreifen kann. Wenn er ein Dokument von Server B abrufen will, muss er sich auch in dieses Netzwerk einklinken.
VPNs funktionieren auf ähnliche Weise, nur dass das Netzwerk virtuell und nicht physisch ist. Genauso wie Bob keine Verbindung zu Server A herstellen kann, wenn er nicht an das Netzwerk angeschlossen ist, kann ein Computer keine Verbindung zu einer Ressource herstellen, die sich in einem VPN befindet, wenn er nicht mit diesem VPN verbunden ist. Wenn Acme Co. anstelle von physischen Kabeln und Routern WLAN und VPNs verwenden würde, müsste Bob sich bei VPN A anmelden, um sich mit Server A zu verbinden. Ebenso müsste er sich mit VPN B verbinden, um auf Server B zuzugreifen.
Da VPNs auf diese Weise funktionieren, werden sie von vielen Unternehmen zur Zugriffskontrolle eingesetzt – d. h. um zu steuern, welche Benutzer Zugriff auf welche Ressourcen haben. Das Unternehmen richtet mehrere unterschiedliche VPNs ein und jedes VPN stellt eine Verbindung zu anderen internen Ressourcen her. Durch die Zuweisung von Benutzern zu diesen VPNs können verschiedene Benutzer unterschiedliche Zugriffsebenen auf Daten haben.
Zugriffskontrolle und -verwaltung sind für den Schutz und die Sicherung von Unternehmensdaten von entscheidender Bedeutung. Ohne Zugriffskontrolle könnten nicht autorisierte Benutzer vertrauliche Daten einsehen oder ändern und so eine Datenschutzverletzung verursachen.
1. Single Point of Failure.
Angreifer können den VPN-verschlüsselten Traffic nicht von außerhalb des VPN einsehen. Aber wenn sie eine Verbindung zum VPN herstellen können, erhalten sie Zugriff auf alle Ressourcen, die mit diesem Netzwerk verbunden sind. Ein Angreifer benötigt nur ein einziges kompromittiertes Konto oder Gerät, um Zugriff auf die VPN-gesicherten Daten zu erhalten.
Eine solche Situation wird oft als „Burg mit Wassergraben“-Modell bezeichnet. Stellen Sie sich eine Burg vor, die durch einen Wassergraben geschützt ist. Angreifer werden vom Wassergraben ferngehalten, aber wenn es ihnen gelingt, ihn zu überwinden, ist die gesamte Burg in Gefahr. Bei einem VPN-Sicherheitsansatz besteht der „Wassergraben“ aus den VPN-Konten der internen Benutzer. Wenn ein Angreifer die Anmeldeinformationen eines Benutzers stiehlt, kann er in das VPN eindringen – er kann „den Wassergraben überwinden“ und erhält Zugriff auf alle verbundenen Daten.
Zero-Trust-Sicherheit ist ein Framework für die Zugriffskontrolle, das darauf abzielt, den Burg-mit-Wassergraben-Ansatz durch eine sicherere Strategie zu ersetzen, bei der standardmäßig keinem Benutzer vertraut wird. Hier finden Sie weitere Informationen zum Thema Zero-Trust-Sicherheit.
2. Die Verwaltung von VPNs ist aufwändig.
Die Verwendung mehrerer VPNs in großem Maßstab bringt Schwierigkeiten bei der Verwaltung mit sich. In großen Organisationen benötigen so viele verschiedene Benutzer so viele verschiedene Zugriffsarten, dass IT-Teams gezwungen sind, entweder 1) viele VPNs einzurichten und zu verwalten oder 2) von den Benutzern zu verlangen, sich bei mehreren VPNs gleichzeitig anzumelden, was nicht nur unbequem ist, sondern sich auch negativ auf die Geräte- und Netzwerk-Performance auswirken kann.
3. VPNs sind nicht granular.
VPNs eignen sich gut, um einer großen Gruppe von Benutzern gleichzeitig den Zugriff zu ermöglichen. In der Praxis müssen IT-Teams jedoch häufig die Berechtigungen auf einzelne Benutzer zuschneiden: Ein Mitarbeiter muss auf die Codebasis zugreifen können, einer auf die Codebasis und das Content Management System (CMS), einer auf beide und die Marketing-Automatisierungsplattform, einer nur auf das CMS und so weiter.
Die Einrichtung eines eigenen VPN für jeden einzelnen Mitarbeiter ist unpraktisch: Es wäre teuer, langsam und arbeitsintensiv. Die Verwaltung des Zugriffs auf der Ebene der einzelnen Benutzer erfordert einen anderen, granulareren Ansatz.
Da VPNs virtuell sind, werden sie häufig verwendet, um Mitarbeitern im Home-Office Zugriff auf benötigte Unternehmensressourcen zu gewähren. Bei diesem Ansatz stoßen Unternehmen jedoch häufig auf eines oder mehrere der oben beschriebenen Probleme.
Viele Lösungen für die Identitäts- und Zugriffsverwaltung (IAM) bieten eine granularere Kontrolle, die leichter zu implementieren ist. Cloudflare Zero Trust ist beispielsweise einfach einzurichten und erhöht die Sicherheit, ohne die Performance zu beeinträchtigen. Cloudflare Zero Trust bietet sicheren Zugang zu internen Anwendungen ohne VPN. Anstelle eines VPN schützt das globale Netzwerk von Cloudflare interne Ressourcen und Daten.
Sichere Web-Gateways können ebenfalls dazu beitragen, die Sicherheit von Remote-Mitarbeitern zu gewährleisten, indem sie riskante Inhalte herausfiltern und verhindern, dass Daten die vom Unternehmen kontrollierten Netzwerke verlassen. Und schließlich kann die Implementierung eines softwaredefinierten Perimeters (SDP) die interne Infrastruktur und Daten für alle nicht autorisierten Benutzer unsichtbar machen.
Erfahren Sie mehr über Sicherheit bei externen Mitarbeitern.