在过去的几十年里,企业虚拟专用网络(VPN)一直是远程办公的首选解决方案。它简单、实惠且相对安全,但多年来关于企业VPN是否已死的争论一直很激烈。分析公司Gartner甚至早在2019年就预测VPN将消亡,Gartner预测(在大流行之前):“到2023年,60%的企业将逐步淘汰大多数VPN,转而使用ZTNA(零信任网络访问)。”疫情发生后,很多企业都开启了远程办公或混合办公模式,甚至这种情况也将成为常态。这也让很多人疑惑如何在VPN和零信任之间做出选择。VPN消亡史VPN技术诞生于1996年,1998年开始在中国出现。可以说,在过去的25年里,企业VPN为政企用户远程访问内部办公做出了巨大的贡献系统,同时打造了多家VPN厂商。特别是在当前大流行期间,由于大量员工需要远程工作,因此VPN的使用率空前高涨。VPN是基于网络边界保护而开发的产品。多年前,安全人员通常将网络描述为“外硬内软”。这意味着企业主要专注于在网络周围构建隔离墙,以保护内部可信资源免受威胁行为者的侵害。这种方法需要一个强大的防火墙来阻止几乎所有来自互联网的流量,而需要访问内部系统的用户将连接到VPN并使用加密来创建一个通过互联网进入公司网络的安全隧道,在那里他们成为公司网络的一部分。信任内部并可以开展业务。但时代变了。在当前云计算、移动(智能手机等)时代,想一想,今天的业务应该在哪里划定边界?当然,公司办公楼中的系统算作边界,但是几乎从不在办公室的销售呢?包含一些敏感数据的基于云的公司资料呢?驻外工程师使用的智能手机呢?VPN的另一个主要缺陷是它们为用户提供了过多的访问权限。VPN对每个用户和设备的权限过于广泛,当远程用户连接到VPN时,他们最终获得的访问权限通常比实际需要的多。谁在“炒作”零信任每一个“死”的VPN背后,都会有一个零信任的身影。零信任模型是网络边界方法的替代方案。零信任模型假设没有任何东西仅基于其IP地址是可信的,并且每个操作都需要授权,而不是基于其网络位置来完全或不信任设备。零信任提高了我们创建高度精细的访问控制机制的能力,这些机制可以根据角色和业务需求定制授予每个用户和设备的访问权限。这不是一个新的想法。事实上,任何研究过网络安全的人都知道最小权限原则,该原则指出用户应该只被授予执行其工作所需的最小权限集。同样,违约拒绝原则指出,所有未明确允许的行为都应被禁止。虽然安全专家长期以来一直接受上述想法,但现实情况是,使用现有的企业访问控制系统几乎不可能做到这一点。零信任将这些原则付诸行动。当然,这说起来容易做起来难。最小特权方法尚未得到广泛实施,因为没有强大的身份和访问管理解决方案就很难做到。幸运的是,该领域的技术在不断进步,大多数组织已经从传统的IAM方法过渡到有助于细粒度权限管理的现代解决方案。使用这些工具,管理员仍然可以创建基于角色的访问策略,但是是以细化的方式,这使得它们更安全并且管理起来更简单。多因素身份验证对于实施零信任模型也很重要,结合其他验证步骤来确定授权访问级别。无论用户类型(最终用户、特权用户、外包IT、合作伙伴或客户)或访问的资源是什么类型,都需要应用零信任原则。除此之外,访问决策需要具有适应性和动态性。VPN与零信任的区别VPN与零信任的区别主要体现在三个方面:OSl层:IPsecVPN运行在第三层(网络层),而ZTNA(以及扩展的SSE和SASE)主要通过网关并使用TLS等。Web协议在第4层到第7层运行。这意味着ZTNA可以提供更全面的保护,尤其是在保护特定应用程序和设备时。但是第3层保护非常适合阻止范围更广的恶意软件并为特定类别的用户划分您的网络。本地硬件和软件:大多数企业VPN需要本地服务器,用户可以通过终端设备上的客户端软件连接到这些服务器。这意味着服务器可能出现单点故障,进出云资源的流量必须经过服务器所在的企业数据中心,这会增加延迟。ZNTA占地面积较小,通常使用基于云的资源实施,并且可以在没有特定端点软件代理的情况下运行。另一方面,VPN在使用代理时会增加终端CPU负载。细粒度控制:大多数VPN旨在通过提供单个受保护的隧道来保护整个网络,远程设备可以通过该隧道访问网络。这在理论上听起来不错,但在实践中却很糟糕,因为获得访问权限的单个感染点可能成为对整个网络进行恶意软件攻击的起点。通过限制网络访问和应用访问,ZTNA可以更加精准,允许特定用户在特定时间访问特定设备上的特定应用。在处理没有任何客户端软件来保护它们的非托管BYOD类型设备或IoT设备时,这种自适应且更灵活的安全性是一个很大的优势。ZTNA也可以用作统一各种安全管理工具的方式。例如,PaloAltoNetworks的PrismaAccess使用ZTNA来组合其防火墙、云访问安全代理和SD-WAN工具。尽管存在这些差异,但在某些情况下VPN和ZTNA可以共存。例如,当连接远程办公室或用户需要连接到本地文件服务器时,可以使用VPN。VPN和ZTNA可以相互补充以提供更全面的安全性,尤其是当大量员工仍在偏远地区时。无与伦比的VPN近年来,VPN协议环境得到了极大的改善。IPsec在很大程度上已被Internet密钥交换(IKEv2)版本取代,这是一种受Windows、macOS和iOS支持的隧道协议。它还包括网络地址遍历(NAT),它为移动设备提供更快的隧道重新连接,使用AES和Blowfish加密,以及基于证书的身份验证来防止中间人攻击。IKEv2也得到了许多企业VPN的支持,例如Cisco的SSLAnyConnect和Juniper的VPN产品。下面介绍两种开源的VPN协议Wireguard和OpenVPN。WireGuardWireGuard是一种易于配置、快速且安全的开源VPN,它采用了最新的加密技术。目标是提供更快、更简单、更精简的通用VPN。WireGuard是一个开源项目,和IKEv2一样,它是为快速重连而设计的,从而提高了可靠性。WireGuard最初是为Linux开发的,但现在可用于Windows、macOS、BSD、iOS和Android。WireGuard的支持者声称,由于其简化的架构,它可以胜过其他VPN协议。WireGuard的最大优势之一是易于部署,配置和部署WireGuard就像配置和使用SSH一样简单。WireGuard的另一个好处是它拥有仅4000行代码的紧凑代码库,支持所有最新的加密技术,例如NoiseProtocolFramework、Curve25519、ChaCha20、Poly1305、BLAKE2、SipHash24、HKDF和SecureTrustedFabric。OpenVPNOpenVPN项目已被大量消费级VPN提供商采用,它支持Windows、MacOS、iOS、Android和Linux客户端。OpenVPNCloud消除了对现场VPN服务器的需求,用户可以作为托管服务连接到它。除了VPN之外,该项目还提供Cyber??Shield服务,这是一种加密DNS流量以帮助防止DoS和中间人攻击的服务。OpenVPN可以在TCP和UDP端口上运行,增加了灵活性。一个问题是OpenVPN的大部分本地服务器都位于北半球,因此从其他位置连接的用户会遇到更长的延迟。综上所述,所谓不要把所有的鸡蛋都放在一个篮子里,安全也是如此。企业有各种各样的远程访问需求,涵盖范围广泛的应用程序、带宽要求和最终用户设备。除了VPN和零信任之外,SASE和SSE的加入可以进一步保护这些资源。所有远程用户都通过位于数据中心的网关服务器机架连接的日子已经一去不复返了,但新的VPN协议也可以补充零信任世界。就目前而言,请三思而后行,将VPN从您的公司网络中“踢出”。
