什麼是商業 VPN?│ 商業 VPN 的用途與限制

企業 VPN 允許遠端員工或辦公室安全地連接到內部網路。

學習目標

閱讀本文後,您將能夠:

  • 說明企業如何使用 VPN 來保護員工的 Web 流量
  • 瞭解企業 VPN 的類型及其使用方式
  • 預測 VPN 可能帶來的限制和財務風險

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 VPN 以及企業為什麼使用它們?

虛擬私人網路 (VPN) 是一種網際網路安全性服務,可使用者裝置與一個或多個伺服器之間建立加密連線。VPN 可以將使用者安全地連接到公司的內部網路或公用網際網路。

企業通常使用 VPN 讓遠端員工存取內部應用程式和資料,或在多個辦公地點之間建立單一共用網路。在這兩種情況下,最終目標都是防止 Web 流量(特別是包含專有資料的流量)暴露在開放的網際網路上。

為什麼需要 VPN 來實現這一點?以遠端員工為例。當員工在本地工作時,他們可以將其電腦和行動裝置直接連接到企業的內部網路。但是,如果員工遠端工作,他們與該內部網路的連線必須透過公用網際網路進行,這可能會使其流量面臨中間人攻擊和其他窺探敏感性資料的手段。使用企業 VPN 或其他安全性服務對流量進行加密,可以提高其安全性,避免遭到窺探。

企業 VPN 有哪些不同類型?

企業 VPN 分為兩類:遠端存取 VPN 和站對站 VPN。

遠端存取 VPN

遠端存取 VPN 在單個使用者和遠端網路(通常是企業的內部網路)之間建立連線。遠端存取 VPN 使用兩個關鍵元件:

  • 網路存取伺服器 (NAS):一個專用伺服器或位於共用伺服器上的軟體應用程式,連接到企業的內部網路
  • VPN 用戶端:安裝在使用者電腦或行動裝置上的軟體

當使用者想要存取企業網路時,他們會啟動其 VPN 用戶端,從而建立到 NAS 的加密「通道」。這種加密通道讓使用者能夠存取內部網路,而不會暴露其流量——這對遠端工作人員來說是一個顯著的安全優勢。

站對站 VPN

站對站 VPN 建立在多個辦公地點共用的單個虛擬網路,每個辦公地點可以有多個個人使用者。在此模型中,VPN 用戶端託管在每個辦公室的本地網路上,而不是單個使用者的裝置上。這樣,每個辦公地點的使用者都可以存取共用網路,而無需單獨使用 VPN 用戶端。但是,如果他們離開辦公室,他們就會失去這種存取權限。

企業 VPN 與消費者 VPN 有何不同?

企業 VPN 和面向消費者的 VPN 運作方式類似,因為它們都與遠端網路建立加密連線。主要區別在於為什麼使用它們。

企業 VPN 允許使用者和團隊連接其公司的內部網路。相比之下,商業 VPN 將使用者連接到代表使用者與共用網際網路互動的一個遠端伺服器或一組伺服器。

使用企業 VPN 保護遠端員工存取有哪些限制?

如果正常使用 VPN 並採用最新的加密通訊協定,則 VPN 可以有效加密遠端員工或團隊與其公司內部網路之間的通訊。此外,與從 ISP 購買安全的「租用線路」或手動將屬於遠端工作人員的 IP 位址逐個列入「允許清單」等傳統解決方案相比,VPN 不僅更加便宜,也更容易管理。

但是,VPN 也有局限性。下面總結了幾條限制。如要瞭解更多資訊,請閱讀這些有關 VPN 安全性VPN 速度的文章。

  • 安全性風險:如果攻擊者獲得對遠端員工的 VPN 認證的存取權限,則該攻擊者將能夠存取相應網路上的所有應用程式和資料。
  • 延遲懲罰:如果公司使用基於雲端的 VPN,則其 NAS 位於與公司內部網路不同的實際位置的資料中心。這個額外的步驟會增加員工和網路之間每個請求的延遲
  • 雲端混合雲端複雜性:許多商務應用程式託管在雲端,而不是在企業的內部網路上,這使得它們與 VPN 不相容。這些應用程式通常使用自己的安全性工具來確保安全存取。但是 IT 團隊無法完全控制這些工具,且可能很難瞭解究竟是誰在存取這些應用程式——這二者都是關鍵的安全性因素。
  • 安裝成本:如果公司使用內部部署 NAS 與其員工的 VPN 用戶端連接,則公司必須定期更換該硬體,以確保其能夠抵禦最新的網路威脅。如果員工 VPN 使用量超過 NAS 處理流量的能力,則會出現類似的情況。公司必須更換該 NAS,否則它可能會過載並崩潰。
  • 管理時間:VPN 需要投入大量精力來維護,尤其是當企業使用多個 VPN 為不同類型的員工提供不同種類的存取時。例如,IT 團隊必須在每個遠端員工的電腦上安裝正確的 VPN 用戶端,並確保員工使該軟體保持最新狀態。

Cloudflare 如何保護遠端員工的網路連線?

Cloudflare Zero Trust 是一種身分識別與存取管理 (IAM) 產品,透過使用 Cloudflare 全球網路取代 VPN 來協助加速和保護遠端團隊。團隊無需將內部工具放在私人網路上,而是可以:

  • 在任何環境中部署它們,包括混合或多雲模型
  • 將它們置於 Cloudflare 的全球 Anycast 網路後方,加快向任何位置的遠端員工的交付速度
  • 將對應用程式的每個請求記錄到受 Access 保護的應用程式