VPN的七種替代方案 - 網安 - 專業的網絡安全產業、社區、知識平臺

VPN曾經一度是保護遠程工作員工的主要工具，為少數遠程員工提供對公司數據和系統的安全訪問，而大多數員工則在傳統辦公網絡內部工作。2020年初新冠疫情以來，大規模遠程辦公已經常態化，這導致VPN不堪重負，各種性能和安全問題接踵而來。

顯然，VPN不足以滿足遠程工作和混合環境的需求，過度依賴VPN來保護大量在家工作的員工會帶來重大風險。

Netacea威脅研究主管Matthew Gracey-McMinn表示：“業界此前未能預測到企業會如此大規模地使用VPN，這無疑是IT團隊的安全噩夢，因為VPN大大增加了攻擊面。”

VPN的“七宗罪”

Immersive Labs應用程序安全主管Sean Wright指出，由于VPN通常會擴展組織的（內部）網絡，如果用戶所在的網絡不安全，攻擊者就有更大的可能利用它。他補充說：“家庭網絡存在更多安全漏洞，從而加劇了這種風險。”

Dominic Grunden的CISO Wave Money指出另一個缺點：VPN只為兩點之間的流量提供加密，需要一個獨立的完整安全堆棧，必須在每個VPN連接的一端部署以進行流量檢查。“當企業資源越來越多地托管在云中并由遠程工作人員訪問時，這一要求越來越難以滿足。VPN也不提供保護第三方訪問的途徑，這可能是最薄弱的攻擊鏈接。”

Gracey-McMinn表示，大多數VPN通過流量加密提供最低限度的安全性，并且通常不強制使用多因素身份驗證(MFA)。“如果一名員工在家工作時的計算機遭到入侵，這可能會導致惡意行為者使用員工憑據通過VPN訪問公司網絡，這將授予他們完全可信的訪問權限——此類活動不太可能被檢測到一個安全團隊，因為在家工作時沒有完整的安全堆棧層。”

Duarte說，類似的問題在最近的Colonial Pipeline勒索軟件攻擊中被觀察到。“在這種情況下，攻擊者只需使用不安全的VPN設備的泄露用戶名和密碼憑據即可訪問內部網絡。”他還提到了攻擊者瞄準和利用已知VPN設備漏洞的實例。“最近，我們觀察到網絡犯罪組織DarkSide對漏洞CVE-2021-20016（影響SonicWall SSLVPN）的利用，以及超過12種不同惡意軟件對漏洞CVE-2021-22893（影響Pulse Secure VPN）的利用。”

VPN另一個重要安全問題是會引入受惡意軟件感染和未打補丁的設備。“這種情況通常與人為驅動的惡意軟件有關，例如僵尸網絡、后門和RAT（遠程訪問木馬），”杜阿爾特說。“攻擊者與設備建立遠程連接，在連接VPN后，惡意軟件可以冒充用戶，訪問它有權訪問的所有系統并通過內部網絡傳播。”

Wright補充說，只有積極更新設備，設備才會足夠安全：“您可以擁有世界上最安全的VPN連接，但如果設備沒有打好補丁，就會給您的組織帶來風險，而是否用VPN連接幾乎沒有什么區別。”

Grunden說，從可用性和生產力的角度來看，VPN也有明顯的缺點。“對VPN的一個常見抱怨是它們降低網絡速度，因為VPN通過不同的服務器重新路由請求，因此由于網絡延遲增加，連接速度不可避免地不會保持不變。”除此之外，有時會出現與使用終止開關和DHCP相關的其他性能問題。“VPN提供的安全性雖然是必要的，但通常會帶來過度的復雜性，特別是對于使用企業VPN的組織而言。”他補充道。

VPN的七種替代方案

無論是完全取代VPN還是作為補充，企業都必須尋找并實施更適合保護大規模遠程工作的替代安全方法。以下是網絡安全專家們推薦的七種VPN替代方案，企業可以根據自己的態勢和風險偏好進行選擇：

1零信任網絡訪問

零信任網絡訪問(ZTNA)本質上是代理訪問網絡上的應用程序和數據。在授予訪問權限之前，用戶和設備會受到質詢和確認。零信任的基本原則之一就是：始終假設設備或員工帳戶已遭入侵。

Grunden解釋說，“零信任方法能夠提供VPN的基本功能，例如授予對某些系統和網絡的訪問權限，但以最低權限訪問的形式增加了一層安全性（精細到特定應用程序)、身份認證、登錄驗證和憑證存儲。”

Duarte說，因此，如果攻擊者成功感染了系統，則損害僅限于該系統可以訪問的內容。“此外，請務必實施網絡監控解決方案來檢測可疑行為，例如對受感染的機器進行端口掃描，這樣可以自動生成警報并關閉受感染的系統。”他補充道。

2安全接入服務邊緣

根據Gracey-McMinn的說法，使用ZTNA模型，每個用戶和設備都將在獲得訪問權限之前經過驗證和檢查，不僅在網絡級別，而且在應用級別也是如此。然而，零信任只是解決問題的一部分，無法監控從一個端點到另一個端點的所有流量，他補充道。“SASE（安全訪問服務邊緣）解決了這個問題。作為一種基于云的模型，SASE將網絡和安全功能結合為一個單一的架構服務，允許公司從一個屏幕上的單點統一管理他們的網絡。”

Grunden表示，SASE是一種現代解決方案，旨在滿足當今組織的性能和安全需求，通過額外的網絡功能層以及底層云原生安全架構提供簡化的管理和操作、降低成本并提高可見性和安全性。“最終，SASE為IT團隊以及企業的整個員工提供了靈活性，可以滿足疫情期間員工在遠程辦公的新常態下安全地工作。

3軟件定義的邊界

Duarte認為，軟件定義的邊界(SDP)通常在更廣泛的零信任策略中實施，是基于軟件而不是硬件的網絡邊界，是經典VPN解決方案的有效替代品。“這使您不僅可以部署多因素身份驗證和網絡分段，還可以分析用戶和聯網設備并創建規則，以便根據不同的場景僅允許它們訪問需要的內容。”

一旦在網絡中檢測到可疑行為，SDP還可以讓您更輕松地阻止攻擊者對資源的訪問，有效隔離潛在威脅，最大限度地減少攻擊造成的損害，并在出現誤報時保持生產力，而不是完全禁用網絡，導致業務中斷。

4軟件定義的廣域網

VPN依靠以路由器為中心的模型在整個網絡中分配控制功能，其中路由器根據IP地址和訪問控制列表(ACL)路由流量。而軟件定義的廣域網(SD-WAN)依賴于軟件和集中控制功能，該功能可以根據優先級、安全性和服務質量要求處理流量，從而以更智能的方式引導WAN中的流量，滿足組織的需求。

“SD-WAN產品可以控制應用程序級策略并提供網絡覆蓋的虛擬化軟件來取代傳統的物理路由器。此外，SD-WAN可以自動化WAN邊緣路由器的持續配置，并通過公共寬帶和私有MPLS鏈接的混合運行流量。”Grunden說。這將創建一個成本更低、復雜度更低、靈活性和安全性更高的企業邊緣網絡。

5身份和訪問管理、特權訪問管理

與通常只需要密碼的傳統VPN相比，包含全面驗證過程以確認登錄嘗試有效性的解決方案提供了更大的保護。“IAM（身份和訪問管理）的一個安全功能是將會話活動和訪問權限與單個用戶相關聯，因此網絡管理員可以確保每個用戶都獲得授權訪問并可以跟蹤每個網絡會話，”Grunden說道：“IAM解決方案通常還提供額外的訪問級別控制，以確保用戶只能訪問他們有權使用的資源。”

作為VPN的替代方案，IAM通過身份管理協議能夠進行更精細的活動監控，但它沒有為特權憑證提供額外的保護。Grunden補充說，為了安全地管理特權帳戶的憑據，企業還需要特權訪問管理(PAM)。“如果身份管理確定了個人用戶的身份并對其進行授權，PAM工具將專注于管理訪問關鍵系統和應用程序的特權憑證，并受到更高級別的關注和審查。”

必須密切管理和監控此類高級帳戶，因為它們對安全構成最大風險，也是不法分子的重要目標。“PAM解決方案的主要優勢包括高級憑證安全性，例如復雜密碼的頻繁輪換、密碼混淆、系統和數據訪問控制以及用戶活動監控，”Grunden說。“這些功能減少了未經授權的特權憑證使用的威脅，并使IT經理更容易發現可疑或有風險的操作。”

6統一端點管理工具

高級分析師Andrew Hewitt表示，通過統一端點管理(UEM)工具進行的條件訪問可以提供無VPN體驗，即在設備上運行的代理將評估各種條件，然后才決定是否讓人們訪問特定資源。Hewitt指出：“例如，該解決方案可以評估設備合規性、身份信息和用戶行為，以確定該人是否可以訪問企業數據。通常，UEM提供商會與ZTNA提供商集成以提供額外保護。”

虛擬桌面基礎架構或桌面即服務

Hewitt解釋說：虛擬桌面基礎架構(VDI)或桌面即服務解決方案（DaaS）“基本上是在云端（或從本地服務器）的流式計算，因此設備上不會有任何內容。”有時組織會將其作為VPN的替代方案，但仍需要在設備級別進行檢查以及用戶身份驗證以確保訪問安全。與傳統VPN不同，VDI的好處是無法將數據從虛擬會話復制到本地客戶端。