什么是企业 VPN?
企业虚拟私人网路VPN是在不再存在的中央化商业环境中发展起来的。如今的企业网路更加动态,必须在员工、承包商和第三方之间有效管理访问权限。因此,基于VPN的网路安全实践变得更加脆弱且难以管理。
在VPN系统的约束下,DevOps团队的效率受到影响。但有一种方法可以在安全保障IT资源的同时有效管理访问权限。基于零信任安全实践的框架为DevOps团队提供了对资源访问的无摩擦控制。
理解企业VPN
在互联网出现之前,企业通过租用电信公司的专用线路来连接远程设施与中央计算资源。这种建立广域网WAN的方式对许多企业来说过于昂贵,对于内部团队来说几乎不可能实现。
公共互联网提供了一种更经济的WAN替代方案,而VPN技术则确保了其安全性。同时,VPN允许在外勤的员工可以远程访问公司的内部IT资源,而不会妥协中央网路的安全边界。
VPN的局限性
当VPN首次出现时,IT部门根据城堡与护城河的框架制定其安全策略。所有资源都位于内部,并被部署在一个特权网路上,围绕该网路建立了一个安全边界。
企业VPN提供了一个通过该边界的受保护网关。VPN网关使用VPN客户端的终端用户凭证进行身份验证,并授予对网路的访问权限。在网路与客户端之间传输的数据进行加密和封装,以确保数据安全。
不幸的是,城堡与护城河的框架仅在所有资源位于特权网路并且访问可限制于受信任的人员和设备时运作最佳。
内部与外部、受信任与不受信任之间的明确区分不再存在。第三方的各种服务供应商在企业IT资源中占有越来越大的份额。即使公司拥有其资源,应用程式可能也在第三方云端平台上运行。访问权限必须在使用混合的管理和个人设备的员工、承包商和外部合作伙伴之间进行管理。
企业VPN的安全问题
构成企业VPN系统基础的城堡与护城河框架也存在固有的安全弱点。该框架假设所有在安全边界内的内容都是安全的。因此,任何经身份验证的VPN连接都可以完全访问公司的网路。
以这种方式对待进入的连接在VPN的原始上下文中是有道理的将特权网路连接到WAN。不幸的是,这种方法也允许遭受攻击的客户设备或用户利用“安全”的VPN连接。
VPN网关也代表著安全风险,因为它们需要公共IP地址并广告VPN供应商的名称。相对简单的工具使网路犯罪分子能够利用这些信息来突破网路安全系统。
IT部门可以通过对网路进行分段、为每个分段安装独特的VPN网关并添加其他安全层来减轻这些风险。然而,增加更多的复杂性使得网路管理变得更加困难和脆弱。
企业VPN的替代方案
有传统企业VPN的替代方案。然而,它们可能成本高昂,并且需要相当大的努力来实施。
多协议标签交换MPLS服务提供安全的站点到站点网路连接和远程访问,而不依赖于互联网。相反,数据通过ATampT和Verizon等电信公司的内部网路进行流转。但与上世纪的租用线连接一样,MPLS服务对于大多数小型和中型组织来说仍然太昂贵。
软体定义广域网SDWAN可以虚拟化对WAN的控制和管理。它们的部署成本较低且速度较快,比MPLS系统更具性能。然而,SDWAN并不是私有网路。虽然它们可以整合MPLS、LTE和其他服务,但通常依赖于互联网来传输数据。而且SDWAN目前缺乏当前IT环境所需的端到端安全控制。
谷歌的BeyondCorp消除信任
2014年,谷歌推出了一个新的企业网路安全框架,该公司在五年前的Operation Aurora网路攻击中成为目标。在此之后,谷歌的安全团队意识到城堡与护城河框架无法对抗对其网路的复杂、国家赞助的威胁。
谷歌的解决方案,称为BeyondCorp,摆脱了受信任的网路及其脆弱的防御。BeyondCorp是一种零信任框架,它假设没有任何网路、用户或设备是安全的。资源的访问需要对用户和设备进行身份验证,并且该身份验证具有瞬时性设备和用户必须在每次会话中重新进行身份验证。谷歌对其方法充满信心,甚至在公共互联网上部署其资源,消除了特权网路。
零信任的挑战
在提供更简单的远程访问、更好的终端用户体验以及更轻松的网路管理的同时加强企业安全。零信任框架的承诺在IT界中受到了广泛的关注。当然,大多数企业并不具备谷歌的资源或以互联网为核心的基因。
在谷歌实施零信任框架花费了多年的时间,并影响了整个业务。访问代理必须开发出来,以便将应用程式从特权网路迁移到互联网。身份验证需要一个动态为设备和用户指派信任级别的访问控制引擎。工作流程、基础设施、遗留系统和胖客户端应用程式必须符合新的框架。
尽管谷歌的业务以网络为中心,并拥有丰富的资源,但该公司仍表示在Operation Aurora网路攻击后的五年内,迁移工作“进展良好”。BeyondCorp是一项全企业的转型工作,需要强而持久的高层承诺和全公司十年的支持。
透过Twingate访问远程开发资源
然而,DevOps团队现在需要零信任框架的好处。员工和承包商不断在项目之间切换。人们加入团队、离开团队,并需要更改角色和权限。管理这些在VPN安全背景下动态变化的团队会对效率产生消极影响。
科学上上网工具下载Twingate提供了一种更快、更无摩擦的方式,让DevOps团队安全地管理远程访问。Twingate解决方案的核心是一种被称为软体定义边界SDP的零信任形式。与BeyondCorp类似,SDP使用基于设备和用户的身份验证来控制对每个资源的访问。但Twingate的SDP方法是基于需求知识的。公司资源仅对具有访问权限的设备和用户可见。
管理员和终端用户都能获得无摩擦的体验。网路上无需进行硬体或软体更改。精细的控制和一键式权限管理使得入职、离职和跨职能管理变得轻而易举。而且,类似消费者的客户端能够快速设置终端用户。Twingate消除了企业VPN的低效和安全弱点,同时让DevOps团队为终端用户提供针对性的安全访问开发资源。了解有关Twingate基于SDP的网路安全解决方案的更多信息。
