VPN 安全:VPN 如何帮助保护数据和控制访问

虚拟专用网络(VPN)可以帮助保护数据和管理用户访问,但也有代替 VPN 的其他方案。

Share facebook icon linkedin icon twitter icon email icon

VPN 安全

学习目标

阅读本文后,您将能够:

  • 了解虚拟专用网络(VPN)如何提高安全性
  • 探索使用 VPN 进行访问控制的弊端
  • 了解 VPN 的替代方案

VPN 能否为企业提供有效的安全性?

虚拟专用网络(VPN)是一种 Internet 安全服务,能够让用户像连接专用网络一样接入 Internet。VPN 利用加密在非安全 Internet 基础设施上建立安全连接。

VPN 是保护公司数据并管理用户对该数据访问的一种方式。在用户通过 Internet 与各种应用和 Web 资产交互时,VPN 可以保护数据并可使特定的资源隐藏起来。它们通常用于访问控制。但是,其他身份和访问管理(IAM)解决方案也可帮助管理用户访问。

VPN 如何有助于保护数据?

加密是一种对数据进行加扰的方式,只有授权方才能理解经过加密的信息。它获取可读的数据并对其进行改动,使它对攻击者或其他任何截获它的人表现为随机数据。从这个角度上讲,加密就像是一种“密码”。

VPN 通过在设备之间建立加密连接来工作。(VPN 通常使用 IPsec 或 SSL/TLS 加密协议。)连接 VPN 的所有设备都设置了加密密钥,并使用这些密钥来编码和解码它们之间发送的所有信息。此过程可能会给网络连接增加少许延迟,减慢网络通信速度(了解有关 VPN 性能的更多信息)。

加密可以发挥以下作用,即使 VPN 连接跨越公共 Internet 基础设施,也能保持私密状态。想象一下,爱丽丝在家里办公并连接到公司的 VPN,从而访问存储在 100 英里外的服务器中的公司数据库。假设她对数据库的所有请求都要经过中间的 Internet 交换点(IXP),数据库的响应同样如此。再假设一名犯罪分子已秘密潜入该 IXP,正在监视从这通过的所有数据(就像窃听电话线路一样)。由于 VPN 的存在,爱丽丝的数据仍然是安全的。犯罪分子看到的只是数据加密后的版本。

VPN 如何有助于控制访问?

假设 Acme Co. 的办公楼中有两台服务器:服务器 A 和服务器 B。Acme Co. 不使用 WiFi,所有设备都必须使用以太网电缆来接入网络。服务器 A 通过电缆和路由器物理连接到包含台式计算机和办公室打印机的设备网络。

任何未以物理方式连入服务器 A 所在网络的人都无法连接服务器 A,这同样适用于服务器 B。如果鲍勃想要通过办公室打印机打印存储在服务器 A 上的文档,他必须先将台式计算机连入正确的网络中,然后才能访问服务器 A 和打印机。如果想要检索服务器 B 中的文档,他也必须连入该网络。

VPN 工作方式与之类似,除了网络是虚拟的,而不是物理的。正如鲍勃必须连入网络才能连接服务器 A,计算机也只有连入了 VPN 后才能访问位由 VPN 保护的资源。如果 Acme Co. 使用 WiFi 和 VPN,而不是物理电缆和路由器,那么鲍勃必须登录 VPN A 后才能连接到服务器 A。同样,他需要连入 VPN B 才能访问服务器 B。

由于 VPN 以这种方式工作,许多公司都将其用于访问控制;也就是说,控制哪些用户有权访问哪些资源。公司设置几个不同的 VPN,每个 VPN 连接到不同的内部资源。通过将用户分配至这些 VPN,不同的用户便可具有不同级别的数据访问权限。

访问控制和管理对于保护公司数据安全至关重要。若无访问控制,未经授权的用户可能会查看或更改机密数据,从而导致数据泄露

使用 VPN 进行访问控制有哪些弊端?

1. 单一故障点。

攻击者无法从 VPN 外部监控 VPN 加密的流量。但是,一旦他们能够连入 VPN,就可访问连接到该网络的任何资源。攻击者只需攻破一个帐户或设备,就能访问由 VPN 保护的数据。

这种情形通常称为“城堡与护城河”模型。想象一座由护城河保护的城堡。觊觎这座城堡的任何进攻力量都被护城河拒之门外;但是,一旦他们越过护城河,整座城堡都将处于危险之中。通过 VPN 实施安全性时,“护城河”由内部用户 VPN 帐户构成。如果攻击者窃得一名用户的登录凭证,他们就能侵入 VPN,即“越过护城河”并获得对所有联网数据的访问权限。

零信任安全是一种用于访问控制的框架,旨在以一种更安全的策略(默认不信任所有用户)来取代城堡与护城河方法。了解有关零信任安全的更多信息。

2. VPN 管理不便。

使用多个 VPN 时,难以进行大规模管理。在大型组织中,许许多多的用户需要各式各样的访问权限,因此 IT 团队不得不 1) 设置并维护许多 VPN 或 2) 要求用户同时登录多个 VPN,不仅很不方便,而且可能会给设备和网络性能造成负面影响。

3. VPN 并不精细。

如果同时为一大群用户开放访问权限,VPN 的效果不错。但在实践中,IT 团队通常需要为各个用户量身定制权限:一名员工需要访问代码库,一名员工需要访问代码库和内容管理系统(CMS),另一名员工则需要访问这两者以及市场营销自动化平台,还有一人则只需要访问 CMS,诸如此类。

为每位员工分别设置 VPN 是不切实际的:成本过高,性能缓慢,而且耗费大量人力。要在逐个用户级别管理访问权限,需要采用其他更加精细的方法。

有没有可以替代 VPN 并允许员工远程办公的方案?

由于 VPN 是虚拟的,它们通常用于协助远程工作者访问所需的公司资源。不过,这种方法通常会使公司遭遇上述一个或多个问题。

许多身份和访问管理(IAM)解决方案提供更加精细也更易于实施的控制。例如,Cloudflare Access 不仅设置简单,而且具有在不影响性能的前提下提高安全性的设计。通过使用 Cloudflare Access,无需 VPN 就能安全访问内部应用程序。Cloudflare 全球网络取代 VPN,为内部资源和数据提供保护。

安全 Web 网关也可确保远程员工的安全,它们能够过滤掉危险内容并防止数据离开公司控制的网络。最后,通过实施软件定义边界(SDP),使所有未授权用户都无法看到内部基础设施和数据。

了解远程员工安全的更多信息。