VPN的七种替代方案
VPN曾经一度是保护远程工作员工的主要工具,为少数远程员工提供对公司数据和系统的安全访问,而大多数员工则在传统办公网络内部工作。2020年初新冠疫情以来,大规模远程办公已经常态化,这导致VPN不堪重负,各种性能和安全问题接踵而来。
显然,VPN不足以满足远程工作和混合环境的需求,过度依赖VPN来保护大量在家工作的员工会带来重大风险。
Netacea威胁研究主管Matthew Gracey-McMinn表示:“业界此前未能预测到企业会如此大规模地使用VPN,这无疑是IT团队的安全噩梦,因为VPN大大增加了攻击面。”
VPN的“七宗罪”
Immersive Labs应用程序安全主管Sean Wright指出,由于VPN通常会扩展组织的(内部)网络,如果用户所在的网络不安全,攻击者就有更大的可能利用它。他补充说:“家庭网络存在更多安全漏洞,从而加剧了这种风险。”
Dominic Grunden的CISO Wave Money指出另一个缺点:VPN只为两点之间的流量提供加密,需要一个独立的完整安全堆栈,必须在每个VPN连接的一端部署以进行流量检查。“当企业资源越来越多地托管在云中并由远程工作人员访问时,这一要求越来越难以满足。VPN也不提供保护第三方访问的途径,这可能是最薄弱的攻击链接。”
Gracey-McMinn表示,大多数VPN通过流量加密提供最低限度的安全性,并且通常不强制使用多因素身份验证(MFA)。“如果一名员工在家工作时的计算机遭到入侵,这可能会导致恶意行为者使用员工凭据通过VPN访问公司网络,这将授予他们完全可信的访问权限——此类活动不太可能被检测到一个安全团队,因为在家工作时没有完整的安全堆栈层。”
Duarte说,类似的问题在最近的Colonial Pipeline勒索软件攻击中被观察到。“在这种情况下,攻击者只需使用不安全的VPN设备的泄露用户名和密码凭据即可访问内部网络。”他还提到了攻击者瞄准和利用已知VPN设备漏洞的实例。“最近,我们观察到网络犯罪组织DarkSide对漏洞CVE-2021-20016(影响SonicWall SSLVPN)的利用,以及超过12种不同恶意软件对漏洞CVE-2021-22893(影响Pulse Secure VPN)的利用。”
VPN另一个重要安全问题是会引入受恶意软件感染和未打补丁的设备。“这种情况通常与人为驱动的恶意软件有关,例如僵尸网络、后门和RAT(远程访问木马),”杜阿尔特说。“攻击者与设备建立远程连接,在连接VPN后,恶意软件可以冒充用户,访问它有权访问的所有系统并通过内部网络传播。”
Wright补充说,只有积极更新设备,设备才会足够安全:“您可以拥有世界上最安全的VPN连接,但如果设备没有打好补丁,就会给您的组织带来风险,而是否用VPN连接几乎没有什么区别。”
Grunden说,从可用性和生产力的角度来看,VPN也有明显的缺点。“对VPN的一个常见抱怨是它们降低网络速度,因为VPN通过不同的服务器重新路由请求,因此由于网络延迟增加,连接速度不可避免地不会保持不变。”除此之外,有时会出现与使用终止开关和DHCP相关的其他性能问题。“VPN提供的安全性虽然是必要的,但通常会带来过度的复杂性,特别是对于使用企业VPN的组织而言。”他补充道。
VPN的七种替代方案
无论是完全取代VPN还是作为补充,企业都必须寻找并实施更适合保护大规模远程工作的替代安全方法。以下是网络安全专家们推荐的七种VPN替代方案,企业可以根据自己的态势和风险偏好进行选择:
1、零信任网络访问
零信任网络访问(ZTNA)本质上是代理访问网络上的应用程序和数据。在授予访问权限之前,用户和设备会受到质询和确认。零信任的基本原则之一就是:始终假设设备或员工帐户已遭入侵。
Grunden解释说,“零信任方法能够提供VPN的基本功能,例如授予对某些系统和网络的访问权限,但以最低权限访问的形式增加了一层安全性(精细到特定应用程序)、身份认证、登录验证和凭证存储。”
Duarte说,因此,如果攻击者成功感染了系统,则损害仅限于该系统可以访问的内容。“此外,请务必实施网络监控解决方案来检测可疑行为,例如对受感染的机器进行端口扫描,这样可以自动生成警报并关闭受感染的系统。”他补充道。
2、安全接入服务边缘
根据Gracey-McMinn的说法,使用ZTNA模型,每个用户和设备都将在获得访问权限之前经过验证和检查,不仅在网络级别,而且在应用级别也是如此。然而,零信任只是解决问题的一部分,无法监控从一个端点到另一个端点的所有流量,他补充道。“SASE(安全访问服务边缘)解决了这个问题。作为一种基于云的模型,SASE将网络和安全功能结合为一个单一的架构服务,允许公司从一个屏幕上的单点统一管理他们的网络。”
Grunden表示,SASE是一种现代解决方案,旨在满足当今组织的性能和安全需求,通过额外的网络功能层以及底层云原生安全架构提供简化的管理和操作、降低成本并提高可见性和安全性。“最终,SASE为IT团队以及企业的整个员工提供了灵活性,可以满足疫情期间员工在远程办公的新常态下安全地工作。
3、软件定义的边界
Duarte认为,软件定义的边界(SDP)通常在更广泛的零信任策略中实施,是基于软件而不是硬件的网络边界,是经典VPN解决方案的有效替代品。“这使您不仅可以部署多因素身份验证和网络分段,还可以分析用户和联网设备并创建规则,以便根据不同的场景仅允许它们访问需要的内容。”
一旦在网络中检测到可疑行为,SDP还可以让您更轻松地阻止攻击者对资源的访问,有效隔离潜在威胁,最大限度地减少攻击造成的损害,并在出现误报时保持生产力,而不是完全禁用网络,导致业务中断。
4、软件定义的广域网
VPN依靠以路由器为中心的模型在整个网络中分配控制功能,其中路由器根据IP地址和访问控制列表(ACL)路由流量。而软件定义的广域网(SD-WAN)依赖于软件和集中控制功能,该功能可以根据优先级、安全性和服务质量要求处理流量,从而以更智能的方式引导WAN中的流量,满足组织的需求。
“SD-WAN产品可以控制应用程序级策略并提供网络覆盖的虚拟化软件来取代传统的物理路由器。此外,SD-WAN可以自动化WAN边缘路由器的持续配置,并通过公共宽带和私有MPLS链接的混合运行流量。”Grunden说。这将创建一个成本更低、复杂度更低、灵活性和安全性更高的企业边缘网络。
5、身份和访问管理、特权访问管理
与通常只需要密码的传统VPN相比,包含全面验证过程以确认登录尝试有效性的解决方案提供了更大的保护。“IAM(身份和访问管理)的一个安全功能是将会话活动和访问权限与单个用户相关联,因此网络管理员可以确保每个用户都获得授权访问并可以跟踪每个网络会话,”Grunden说道:“IAM解决方案通常还提供额外的访问级别控制,以确保用户只能访问他们有权使用的资源。”
作为VPN的替代方案,IAM通过身份管理协议能够进行更精细的活动监控,但它没有为特权凭证提供额外的保护。Grunden补充说,为了安全地管理特权帐户的凭据,企业还需要特权访问管理(PAM)。“如果身份管理确定了个人用户的身份并对其进行授权,PAM工具将专注于管理访问关键系统和应用程序的特权凭证,并受到更高级别的关注和审查。”
必须密切管理和监控此类高级帐户,因为它们对安全构成最大风险,也是不法分子的重要目标。“PAM解决方案的主要优势包括高级凭证安全性,例如复杂密码的频繁轮换、密码混淆、系统和数据访问控制以及用户活动监控,”Grunden说。“这些功能减少了未经授权的特权凭证使用的威胁,并使IT经理更容易发现可疑或有风险的操作。”
6、统一端点管理工具
高级分析师Andrew Hewitt表示,通过统一端点管理(UEM)工具进行的条件访问可以提供无VPN体验,即在设备上运行的代理将评估各种条件,然后才决定是否让人们访问特定资源。Hewitt指出:“例如,该解决方案可以评估设备合规性、身份信息和用户行为,以确定该人是否可以访问企业数据。通常,UEM提供商会与ZTNA提供商集成以提供额外保护。”
7、虚拟桌面基础架构或桌面即服务
Hewitt解释说:虚拟桌面基础架构(VDI)或桌面即服务解决方案(DaaS)“基本上是在云端(或从本地服务器)的流式计算,因此设备上不会有任何内容。”有时组织会将其作为VPN的替代方案,但仍需要在设备级别进行检查以及用户身份验证以确保访问安全。与传统VPN不同,VDI的好处是无法将数据从虚拟会话复制到本地客户端。