虛擬私人網路 (VPN) 可以協助保護資料和管理使用者存取,但也有替代 VPN 的方法。
閱讀本文後,您將能夠:
複製文章連結
虛擬私人網路 (VPN) 是一種網際網路安全性服務,允許使用者像連接到私人網路一樣存取網際網路。VPN 使用 加密在不安全的網際網路基礎結構上建立安全連線。
VPN 能夠保護公司資料並管理使用者對該資料的存取。當使用者透過網際網路與應用程式和 Web 資產互動時,VPN 可以保護資料,並且可以隱藏某些資源。它們通常用於存取控制,但是,還有一些其他身分識別與存取管理 (IAM) 解決方案也能夠協助管理用戶存取。
加密是對資料進行加擾以便只能被授權方理解的一種方式。它獲取可讀資料並對其進行更改,使其對攻擊者或攔截它的任何其他人來說都是隨機的。這樣,加密就像一個「密碼」。
VPN 的運作方式是在裝置之間建立加密連線。(VPN 通常使用 IPsec 或 SSL/TLS 加密通訊協定。)連接到 VPN 的所有裝置都設定了加密金鑰,這些金鑰用於對它們之間傳送的所有資訊進行編碼和解碼。此過程可能會給網路連線增加少量延遲,這會減慢網路流量(詳細瞭解 VPN 效能)。
這種加密的效果是,即使 VPN 連線跨越公用網際網路基礎結構,它們仍然是私密的。想像一下,Alice 在家工作,她連接到公司的VPN,以便能夠存取儲存在 100 英里外的伺服器中的公司資料庫。假設她對資料庫的所有請求以及資料庫的回應都通過中間網際網路交換點 (IXP)。現在假設一個罪犯秘密滲透到這個 IXP 中,並正在監視所有通過的資料(有點像竊聽電話線)。由於 VPN 的原因,Alice 的資料仍然是安全的。罪犯所能看到的只是資料的加密版本。
想像一下,Acme Co. 的辦公樓里有兩台伺服器:伺服器 A 和伺服器 B。Acme Co. 不使用 WiFi,因此所有裝置都必須使用乙太網路纜線進行網路存取。伺服器 A 透過纜線和路由器實體連接到包括桌上型電腦和辦公室印表機在內的裝置網路。
任何未實體連接到伺服器 A 網路的人都無法與伺服器 A 連接,對伺服器 B 也同樣如此。如果 Bob 想要透過辦公室印表機列印儲存在伺服器 A 上的文件,他必須將桌上型電腦接入正確的網路,然後才能存取伺服器 A 和印表機。如果他想從伺服器 B 擷取文件,他也必須插入該網路。
VPN 以類似的方式運作,只是網路是虛擬的而不是實體的。正如 Bob 必須接入網路才能連接伺服器 A,電腦也只有連接至 VPN 後才能存取由該 VPN 保護的資源。如果 Acme Co. 使用 WiFi 和 VPN 而不是實體纜線和路由器,Bob 必須登入 VPN A 才能連接到伺服器 A。同樣,他需要連接到 VPN B 才能存取伺服器 B。
由於 VPN 這樣的運作方式,因此許多公司使用它們進行存取控制——換句話說,控制哪些使用者可以存取哪些資源。公司設定幾個不同的 VPN,每個 VPN 連接到不同的內部資源。透過將使用者指派到這些 VPN,不同的使用者可以對資料進行不同級別的存取。
存取控制和管理對於保護公司資料至關重要。如果沒有存取控制,未經授權的使用者可以檢視或更改機密資料,從而導致資料外洩。
1. 單一失敗點。
攻擊者無法監控來自 VPN 外部的 VPN 加密流量。但是,如果他們能夠連接到 VPN,就可以存取連接到該網路的任何資源。攻擊者只需要一個遭入侵的帳戶或裝置即可存取受 VPN 保護的資料。
這種情況通常被稱為「城堡加護城河」模型。想像一座由護城河保護的城堡。覬覦這座城堡的任何進攻力量都被護城河拒之門外;但是,一旦他們越過護城河,整座城堡都將處於危險之中。透過 VPN 實施安全性時,「護城河」由內部使用者 VPN 帳戶構成。如果攻擊者竊得一名使用者的登入認證,他們就能侵入 VPN,即「越過護城河」並獲得對所有連線資料的存取權限。
Zero Trust 安全性是一個存取控制框架,旨在用一種更安全的策略(預設不信任任何使用者)取代城堡加護城河方法。詳細瞭解 Zero Trust 安全性。
2. VPN 難以管理。
使用多個 VPN 時,難以進行大規模管理。在大型組織中,許多不同的使用者需要如此多不同類型的存取,以至於 IT 團隊被迫 1)設定和維護許多 VPN,或 2)要求使用者一次登入多個VPN,這很不方便,並且可能對裝置和網路效能產生負面影響。
3. VPN 控制不精細。
VPN 非常適合同時向一大群使用者開放存取權限。但在實踐中,IT 團隊通常需要為各個使用者量身定制權限:一名員工需要存取程式碼庫,一名員工需要存取程式碼庫和內容管理系統 (CMS),另一名員工則需要存取這兩者以及行銷自動化平台,還有一人則只需要存取 CMS,諸如此類。
為每個員工設定一個 VPN 是不切實際的:成本過高、效率低下且耗費勞力。要在單個使用者層級管理存取權限,需要一種不同的、更精細的方法。
由於 VPN 是虛擬的,因此它們通常用於為遠端工作人員提供對所需公司資源的存取權限。但是,這種方法通常會導致公司遇到上述一個或多個問題。
許多身分識別與存取管理 (IAM) 解決方案提供更精細的控制,且更易於實作。例如,Cloudflare Zero Trust 易於設定,且旨在提高安全性而不影響效能。Cloudflare Zero Trust 提供對內部應用程式的安全存取,而無需 VPN。Cloudflare 全球網路可取代 VPN 來保護內部資源和資料。
安全 Web 閘道還可以透過篩選掉有風險的內容並防止資料離開公司控制的網路,來幫助確保遠端員工的安全。最後,實作軟體定義邊界 (SDP) 可以使內部基礎結構和資料對所有未經授權的使用者不可見
入門
關於存取管理
關於零信任