淺談 VPN的重要性和VPN選擇要點

虛擬專用網(wǎng)絡 （VPN） 的企業(yè)選擇過去非常簡單。您必須在兩種協(xié)議和少數(shù)供應商之間進行選擇。那些日子已經(jīng)一去不復返了。由于大流行，我們擁有比以往更多的遠程工作者，他們需要更復雜的保護。隨著烏克蘭戰(zhàn)爭的繼續(xù)，越來越多的人轉(zhuǎn)向 VPN 以繞過俄羅斯和其他威權(quán)政府強加的封鎖，例如Cloudflare 的 VPN 使用數(shù)據(jù)所示。

VPN 可能不是保護遠程工作人員的完整答案。當有關 Okta 的最新黑客攻擊和去年的 Colonial Pipeline 攻擊的新聞報道都利用被盜的 VPN 憑據(jù)或當黑客找到進入 NordVPN、TorGuard 和 VikingVPN 的途徑時，這無濟于事。

當然，VPN也有其問題，例如缺乏保護端點網(wǎng)絡、保護云計算時的盲點以及缺少多因素身份驗證 （MFA） 控制。那篇文章提到了保護遠程工作流程的其他幾種策略，包括擴展零信任網(wǎng)絡以及使用安全訪問服務邊緣工具、身份和訪問管理以及虛擬桌面等產(chǎn)品的組合。

VPN對企業(yè)很重要的地方

VPN 仍然很有用，對于現(xiàn)代大部分偏遠的工作場所來說可能是必不可少的。它們可以在以下四種情況下發(fā)揮作用：

保護公共（和家庭）網(wǎng)絡上的數(shù)據(jù)不被中間人攻擊截獲。加密您的網(wǎng)絡流量使中間商更難窺探和吸納它。

保護您的智能手機不被跟蹤，這是與上述問題不同的問題：大多數(shù)用戶的手機上沒有安裝任何 VPN 軟件。移動 VPN 產(chǎn)品與更安全的 DNS（如 Cloudflare 的 Warp）相結(jié)合，應該在所有企業(yè)用戶的移動設備上。

作為常旅客的有用工具，尤其是當您前往專制政權(quán)或?qū)彶樘囟ɑヂ?lián)網(wǎng)目的地的國家時。或者，如果您需要支持偏遠地區(qū)的用戶，使用具有附近端點的 VPN 可能是有意義的。

防止您的私人數(shù)據(jù)泄露給您的 ISP，盡管您的 VPN 提供商如果沒有像應有的那樣勤奮，仍然可以獲得這些信息。

最后一項需要更多解釋，這也是 NordVPN 和其他公司受到更多審查的原因之一?？杀氖?，消費者 VPN 提供商在其安全和隱私聲明方面過度承諾和交付不足，做得很糟糕。許多人大肆宣傳“軍事級安全”和“100% 不泄露數(shù)據(jù)”。這些完全是胡說八道，因為沒有通用的軍事安全標準，每個 VPN 都會以某種方式在某個地方跟蹤某些東西。另一個原因：一些 VPN 只不過是跟蹤偽裝成合法軟件的應用程序。研究人員發(fā)現(xiàn)了快速嵌入各種 VPN 中的俄羅斯跟蹤軟件， 其中一些針對烏克蘭用戶。

Yael Grauer 與密歇根大學的一組安全研究人員合作。Grauer 發(fā)現(xiàn)，在團隊測試的 16 種知名 VPN 服務中，有12 種夸大了它們可以提供多少保護。Grauer 的分析還描述了每個 VPN 泄露了哪些數(shù)據(jù)、它們保留客戶日志的時間以及在分析業(yè)務 VPN 行為時可以使用的其他詳細信息。如果您勤于使用加密電子郵件產(chǎn)品、連接到安全的 DNS 服務器、在我們所有的登錄中使用復雜的密碼和 MFA 并避免公共 Wi-Fi 熱點，則其中一些用例可能會得到部分滿足。這并不總是可能的，這就是為什么我們?nèi)匀恍枰?VPN 來保護我們的對話。

VPN 現(xiàn)場的明亮標志

由于大流行期間對 VPN 的廣泛興趣，它們正在變得越來越好，值得重新審視。VPN 的部分問題是忽略營銷方面的胡說八道，深入研究該技術(shù)，并在您的安全堆棧中為 VPN 找到合適的位置。事實上，它們很有幫助，尤其是與可以加密互聯(lián)網(wǎng)流量的軟件定義安全基礎設施結(jié)合使用時。讓我們看看最近的幾個趨勢和其他發(fā)展，并為現(xiàn)代企業(yè) VPN 部署提出一些建議。

［在這份免費的 CIO 路線圖報告中了解 IT 如何利用 5G 的力量和前景?，F(xiàn)在下載?。?/p>

首先，有更廣泛的協(xié)議領域可供選擇，使其更加靈活和吸引人。十多年前，只有兩個：IPSec和SSL。從那時起，出現(xiàn)了更新的協(xié)議，旨在優(yōu)化連接速度和整體更好的性能。例如，IETF 發(fā)布了 Internet 密鑰交換 （IKE） 的 v2，它通過更快的重新連接改進了 IPSec 隧道，并內(nèi)置在大多數(shù)當前端點操作系統(tǒng)中。許多企業(yè) VPN 也支持 IKEv2，例如 Cisco 的 SSL AnyConnect 和瞻博網(wǎng)絡的 VPN 產(chǎn)品。

OpenVPN有幾個使用這個名稱的項目——協(xié)議、VPN 服務器代碼和各種客戶端。它的協(xié)議在 SSL 的基礎上進行了改進，并已被廣泛采用，有幾個專有版本供 Windscribe、Hotspot Shield、NordVPN 和 ExpressVPN 等消費者 VPN 供應商使用。IKEv2 和 OpenVPN 協(xié)議都可以使用具有 256 位加密密鑰的 AES，這是現(xiàn)代標準。

然后是WireGuard，它有幾個項目，包括一些消費者 VPN 也支持的協(xié)議，并提供自己的 VPN 服務器和客戶端代碼。它的支持者聲稱它比 OpenVPN 更快、更容易使用；你可以在 Linux v5.6 內(nèi)核中找到它的一部分。

OpenVPN 和 WireGuard 還可以在任何 UDP（在 OpenVPN 的情況下為 TCP）端口上運行，從而使它們在國家行為者試圖阻止所有 VPN 使用的情況下更具彈性。WireGuard 還設計用于在切換 VPN 服務器時保持連接。

OpenVPN 運動的一個副產(chǎn)品是消費者 VPN 更加關注開源。這很好，因為更多地關注代碼意味著可以修復錯誤和數(shù)據(jù)泄漏，從而提高安全性?！伴_放性”有幾個方面值得探索，因為消費者 VPN 提供商在其營銷描述中對這個詞的表述有些不準確。

詢問 VPN 供應商的問題

供應商如何執(zhí)行其安全審計（內(nèi)部或通過中立的第三方），這些審計是如何發(fā)布的？特別是，審計可以揭示濫用數(shù)據(jù)隱私或泄露客戶數(shù)據(jù)的 VPN，以及客戶端和服務器代碼庫是否完全開放。

供應商如何發(fā)布有關各種執(zhí)法互動的透明度報告？這些信息可以讓企業(yè)安全經(jīng)理大致了解過去披露了哪些信息，盡管這并不能保證他們將來會做什么。

其代碼的哪些部分是開源的，哪些是專有的？這適用于客戶端和服務器版本以及各種通信協(xié)議。雖然消費者 VPN 供應商已經(jīng)轉(zhuǎn)向使用開源，但大多數(shù)商業(yè) VPN 供應商還沒有。一個值得注意的例外是Perimeter 81，它結(jié)合了 VPN、防火墻、Web 網(wǎng)關和其他使用一些開源的安全工具。

VPN 如何與身份和安全基礎設施產(chǎn)品集成？例如，Sonicwall 的 Mobile Connect 支持 Ping、Okta 和 OneLogin 身份提供商；F5 的 Big-IP Access Policy Manager 支持 FIDO U2F 令牌；Palo Alto Networks 的 Okyo Garde 與其 Prisma Access 安全邊緣產(chǎn)品集成。如果您配置各種產(chǎn)品充分利用這些更安全的方法，這使得它們對商業(yè)用途更具吸引力。

最后，一個有趣的情況是基于區(qū)塊鏈的分布式 VPN 基礎設施的興起。這是 VPN 的天然場所，可用于進一步混淆流量，并使其更難在分布式網(wǎng)絡中進行跟蹤（Tor 和 Onion 路由器以及 Napster 之前已經(jīng)證明了這一點）。早期的領導者是來自 Sentinel.co 的基于 Android 的 dVPN。它們背后的概念是，類似區(qū)塊鏈的基礎設施可以證明 VPN 提供類似 SLA 的帶寬和特定的加密級別，并且不會泄露任何私人數(shù)據(jù)。Sentinel 提供開源、跨平臺的分布式 VPN 客戶端，他們聲稱這些客戶端具有彈性、安全性和高度可擴展性，并且可以內(nèi)置到自定義應用程序中。