2023 年 4 月 13 日更新。 最初发布于 2021 年 1 月 21 日。
回顾过去,Covid-19 大流行的早期可能是虚拟专用网络 (VPN) 的 "黄金时代"。 世界各地的组织需要一种解决方案,使员工和第三方用户(如承包商、供应商等)能够在家工作,并保持业务连续性。 在许多情况下,虚拟专用网络(VPN)已经在有限的范围内得到了应用。
但矛盾的是,VPN 作为关键业务远程访问工具的迅速普及很快暴露出 VPN 的一系列严重问题。 VPN 不仅容易受到网络攻击(请回想 2020 年 8 月网络犯罪分子成功地通过 Pulse Secure 访问近 1,000 个 VPN 服务器),它们还会严重拖累生产率,限制业务运营。
本博客将探讨 VPN 的五个主要问题,并探讨用以下方法增强或替代 VPN 连接的好处零信任访问.
当员工在公司办公室工作、全球连接稀缺、网络攻击不那么先进时,基于外围的网络安全基本上是一种足够的解决方案。 如今,现代企业很可能同时雇用远程和混合员工,需要与全球各地的员工持续沟通,并需要多种类型的网络和连接才能以最高效率运行。 企业方面的复杂程度不断提高,而网络攻击者方面的复杂程度也在不断提高。勒索软件和其他攻击方法在各行各业造成破坏。
当今的企业网络经常受到攻击,这种说法并不为过。 仅仅试图阻止网络入口已不足以防止危险结果的发生。 尤其是 VPN,它可能成为公司网络安全的一个关键失误点。2021年NordVPN漏洞证明。 这是因为 VPN 可以将用户直接接入网络,这意味着如果攻击者可以访问你的 VPN,他们基本上就获得了你的数字房子里所有锁的钥匙。 然后,他们就可以安装勒索软件和其他形式的恶意软件,窃取或破坏贵公司的数据,严重扰乱贵公司的业务。
那么,依赖 VPN 的公司该怎么办呢? 许多公司意识到,零信任访问是一种更安全的选择,可以补充甚至取代 VPN。 除了 VPN 也会进行的初始验证外,零信任访问解决方案还能确保用户和设备在每次尝试访问系统、应用程序或资产时都经过持续验证。 此外,在零信任模式下,用户将直接访问他们获得授权的系统或应用程序,而绝不会获得完全的网络访问权限。 这可以防止侧向运动攻击者(或恶意员工)在通过 VPN 获得访问权限后经常会执行的操作。
加载时间缓慢对于通过 VPN 从家里(或其他地方)连接的员工来说,系统卡死和长时间连接等待是常有的事。 这是网络延迟造成的,它将所有流量通过数据中心路由,然后进行加密。 集中点会成为一个瓶颈,因为它的规模可能无法处理当今的并发连接量。 现代企业需要更快、更灵活的通信,尤其是在网络流量大幅增加的情况下。远程工作机会
与 VPN 相比,Cyolo 等零信任访问解决方案在公司网络内运行,甚至可以在公共互联网上部署。 这为员工提供了比 VPN 更顺畅、更高效的连接,可减少远程员工的头痛问题,提高整体工作效率。
使用 VPN 扩展业务是可以做到的,但这是一个耗费大量时间和资源的庞大过程。 你甚至需要更多的带宽、更多的安全措施和更多的 VPN 终结器才能开始考虑适当的扩展。 不过,如果你不经常招聘新员工,很容易就会认为这不是什么大问题。 毕竟,如果没有增长,就没有必要进行扩展,不是吗?
错了。 扩展不仅仅是壮大团队。 它还涉及启用更多连接选项,如远程工作、新的第三方供应商和新设备等。 任何时候,当你需要将新的连接安全地接入你的 VPN 时,你都需要为此投入大量资源。
像零信任这样主要基于云的解决方案,可以像其他 SaaS 解决方案一样高效扩展。 您只需将用户或设备添加到策略中,就可以使用了。 Cyolo 甚至可以通过基于 Web 的用户界面实现这一点。 因此,扩展甚至M&A 后的大规模入职培训- 对于 IT 和安全团队来说,这几乎是不费吹灰之力的事情。
供应商和合作伙伴对大多数企业的成功至关重要,但要做好他们的工作,他们需要网络连接和访问。 如上所述,使用 VPN 实现这一目标可能会耗费大量资源。 此外,并非供应商一方的所有员工都会同意在其设备上安装 VPN 客户端。 这可能会限制你的业务对象,并因此损害公司的底线。
使用 VPN 支持第三方连接也会导致严重的安全问题,原因与我们已经概述的类似。 但是第三方的风险更大因为未经您亲自审查的个人可能会访问您的关键业务系统、应用程序和资产。 除了怀有恶意的人有可能以第三方用户的身份获得完全的网络访问权限外,不熟悉贵组织安全最佳实践的承包商也很容易犯错,造成灾难性后果。
VPN 必须作为代理安装或下载,而安全的零信任访问则可由 IT 或安全团队远程设置,只需点击几下即可将新用户添加到正确的策略中。 值得注意的是,零信任访问不需要在供应商方面进行安装,使您可以灵活地与您选择的任何合作伙伴合作。 同样重要的是,零信任可以轻松实现对第三方的即时访问(JIT),并在合同结束时取消所有访问权限。
零信任还降低了允许供应商和合作伙伴访问系统的安全风险,因为每次访问尝试都需要用户身份验证。 这意味着,即使您无法审查网络上的每个用户,攻击者通过第三方成功入侵的几率也会大大降低。
COVID-19 大流行的持久影响之一,就是使远程工作成为员工和雇主的一种可行选择。 VPN 的建立是为了实现在家的零星连接,从未想过要处理整个员工团队都在办公室外工作的负荷。
而零信任则可以安全访问和连接所有用户和资源,无论他们身在何处。 无论用户是在公共图书馆、当地咖啡店,还是在自己舒适的卧室里工作,零信任访问都能确保公司资产的安全和数据的安全。 此外,零信任访问对现场工作人员适用相同级别的安全控制(和经验)。 这种安全级别使零信任成为每种工作类型的理想安全框架。
虽然 VPN 保留了一些有限的业务用例,但完全依赖 VPN 进行安全远程访问必然会造成问题。 通过零信任访问,企业可以确保用户的安全连接,同时保持足够的灵活性,以应对现代业务生态系统日益复杂的需求。 无论您目前使用的是 VPN 并希望增强其安全功能,还是希望完全取代 VPN,零信任访问都可能正是您所需要的。
作者
Eran Shmuely 是 Cyolo 的首席架构师和联合创始人。 在加入 Cyolo 之前,Eran 是 Salesforce 的高级安全工程师和 GE Digital 的开源安全研究负责人。
