Segurança da VPN: como as VPNs ajudam a proteger os dados e controlar o acesso

Uma rede privada virtual (VPN) pode ajudar a proteger os dados e gerenciar o acesso do usuário, mas existem alternativas ao uso de VPNs.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Saber como uma rede privada virtual (VPN) aumenta a segurança
  • Explorar as desvantagens de usar VPNs para controle de acesso
  • Saber sobre alternativas para VPNs

Copiar o link do artigo

As VPNs fornecem segurança eficaz para as empresas?

Uma rede privada virtual (VPN) é um serviço de segurança da internet que permite aos usuários acessar a internet como se estivessem conectados a uma rede privada. As VPNs usam criptografia para criar uma conexão segura em uma infraestrutura de internet não segura.

As VPNs são uma forma de proteger os dados corporativos e gerenciar o acesso do usuário a esses dados. As VPNs protegem os dados à medida que os usuários interagem com aplicativos e propriedades da web na internet e podem manter certos recursos ocultos. Elas são comumente usadas para controle de acesso — no entanto, outras soluções de gerenciamento de identidade e acesso (IAM) também podem ajudar a gerenciar o acesso do usuário.

Como as VPNs ajudam a proteger os dados?

A criptografia é uma forma de embaralhar os dados de forma que apenas as partes autorizadas possam entender as informações. Ela pega dados legíveis e os altera para que pareçam aleatórios para os invasores ou qualquer outra pessoa que os interceptar. Dessa forma, a criptografia é como um "código secreto".

Uma VPN funciona estabelecendo conexões criptografadas entre dispositivos. (As VPNs geralmente usam os protocolos de criptografia IPsec ou SSL/TLS.) Todos os dispositivos que se conectam à VPN configuram chaves de criptografia e essas chaves são usadas para codificar e decodificar todas as informações enviadas entre eles. Este processo pode adicionar um pouco de latência às conexões de rede, o que tornará o tráfego de rede lento (saiba mais sobre a performance da VPN).

O efeito dessa criptografia é que as conexões VPN permanecem privadas mesmo que se estendam pela infraestrutura pública da internet. Imagine que Alice está trabalhando em casa e se conecta à VPN de sua empresa para que possa acessar um banco de dados da empresa que está armazenado em um servidor a 160 quilômetros de distância. Suponha que todas as suas solicitações ao banco de dados, bem como as respostas do banco de dados, viajem por um ponto de troca da Internet (IXP) intermediário. Agora, suponha que um criminoso tenha se infiltrado secretamente neste IXP e esteja monitorando todos os dados que passam (tipo grampear uma linha telefônica). Os dados de Alice ainda estão seguros por causa da VPN. Tudo o que o criminoso pode ver é a versão criptografada dos dados.

Como as VPNs ajudam no controle do acesso?

Imagine que há dois servidores no prédio de escritórios da Acme Co.: Servidor A e Servidor B. A Acme Co. não usa WiFi, portanto, todos os dispositivos precisam usar cabos Ethernet para acesso à rede. O servidor A está fisicamente conectado por meio de cabos e roteadores a uma rede de dispositivos que inclui computadores desktop e impressoras do escritório.

Qualquer pessoa que não esteja conectada fisicamente à rede do Servidor A não pode se conectar ao Servidor A e o mesmo se aplica ao Servidor B. Se Bob deseja imprimir um documento armazenado no Servidor A através da impressora do escritório, ele deve conectar seu computador desktop na rede correta antes de poder acessar o Servidor A e a impressora. Se ele quiser recuperar um documento do Servidor B, ele deve se conectar a essa rede também.

As VPNs funcionam de maneira semelhante, exceto que a rede é virtual em vez de física. Assim como Bob não pode se conectar ao Servidor A, a menos que esteja conectado à rede, um computador não pode se conectar a um recurso protegido por uma VPN a menos que se conecte a essa VPN. Se a Acme Co. usasse WiFi e VPNs em vez de cabos físicos e roteadores, Bob teria que fazer login na VPN A para se conectar ao Servidor A. Da mesma forma, ele precisaria se conectar à VPN B para acessar o Servidor B.

Como as VPNs funcionam assim, muitas empresas as utilizam para controle do acesso — em outras palavras, para controlar quais usuários têm acesso a quais recursos. A empresa configura várias VPNs diferentes e cada VPN se conecta a diferentes recursos internos. Na atribuição de usuários a essas VPNs, usuários diferentes podem ter níveis de acesso aos dados diferentes.

O controle e gerenciamento de acesso são essenciais para guardar e proteger os dados corporativos. Sem controle do acesso, usuários não autorizados podem visualizar ou alterar dados confidenciais, resultando em violação de dados.

Quais são as desvantagens de usar VPNs para controle do acesso?

1. Ponto único de falha.

Os invasores não podem monitorar o tráfego criptografado por VPN de fora da VPN. Mas se eles forem capazes de se conectar à VPN, eles ganham acesso a todos os recursos conectados a essa rede. É necessário apenas uma conta ou dispositivo comprometido para que um invasor obtenha acesso aos dados protegidos por VPN.

Tal situação costuma ser conhecida como o modelo "castelo e fosso". Pense em um castelo protegido por um fosso. Quaisquer forças de ataque que ameaçam o castelo serão mantidas do lado de fora pelo fosso, mas assim que cruzarem o fosso, todo o castelo estará em perigo. Com uma abordagem VPN à segurança, o "fosso" consiste nas contas de VPN de usuários internos. Se um invasor rouba as credenciais de login de um usuário, ele pode violar a VPN — ele pode "cruzar o fosso" e obter acesso a todos os dados conectados.

A segurança Zero Trust é uma estrutura para controle de acesso que visa substituir a abordagem de castelo e fosso por uma estratégia mais segura na qual nenhum usuário é confiável por padrão. Saiba mais sobre segurança Zero Trust.

2. VPNs são difíceis de gerenciar.

Usar várias VPNs é difícil de gerenciar em grande escala. Em grandes organizações, tantos usuários diferentes precisam de tantos tipos diferentes de acesso que as equipes de TI são forçadas a 1) configurar e manter muitas VPNs ou 2) exigir que os usuários façam login em várias VPNs ao mesmo tempo, o que é inconveniente e pode impactar negativamente o dispositivo e a performance da rede.

3. VPNs não são granulares.

As VPNs funcionam bem para abrir o acesso a um grande grupo de usuários de uma só vez. No entanto, na prática, as equipes de TI geralmente precisam adaptar as permissões para usuários individuais: um funcionário precisa acessar a base de código, outro precisa acessar a base de código e o sistema de gerenciamento de conteúdo (CMS), um outro precisa acessar ambos, além da plataforma automação de marketing, outro precisa apenas do CMS e assim por diante.

Configurar uma VPN para cada funcionário individual é impraticável: custo proibitivo, performance lenta e trabalho intensivo. Gerenciar o acesso no nível do usuário individual requer uma abordagem diferente e mais granular.

Existem alternativas às VPNs para permitir que os funcionários trabalhem remotamente?

Como as VPNs são virtuais, muitas vezes são usadas para fornecer aos funcionários remotos acesso aos recursos necessários da empresa. No entanto, essa abordagem costuma se depara com empresas que enfrentam um ou mais dos problemas descritos acima.

Muitas soluções de gerenciamento de identidade e acesso (IAM) oferecem controle mais granular que é mais fácil de implementar. O Cloudflare Access, por exemplo, é fácil de configurar e foi desenvolvido para aumentar a segurança sem afetar a performance. O Cloudflare Access oferece acesso seguro a aplicativos internos sem VPN. Em vez de uma VPN, a Rede global da Cloudflare protege os recursos e dados internos.

Os gateways seguros da web também podem ajudar a manter os funcionários remotos protegidos, filtrando o conteúdo perigoso e evitando que os dados saiam das redes controladas pela empresa. E, finalmente, a implementação de perímetros definidos por software (SDP) pode manter a infraestrutura interna e os dados invisíveis para todos os usuários não autorizados

Saiba mais sobre segurança da força de trabalho remota.