Connect with us

Kybernetická bezpečnost

Přehled do firemních bran VPN

mm
Published
Updated

Co jsou branami VPN? Má tato třída řešení budoucnost? Jaké parametry je třeba zvážit při ochraně komunikačních kanálů?

Mnohé organizace zažívají naléhavou potřebu chránit přenášená data. Masivní přechod na práci na dálku pouze posílil tento trend. Co určuje výběr brány VPN — její funkčnost, cena nebo dostupnost nezbytných certifikátů? Podívejme se na tyto otázky podrobněji.

Jak lze nakonfigurovat bránu VPN

Pokud jde o praktické možnosti použití kryptografických bran, ochrana komunikačních kanálů pro video, telemedicínu a zabezpečený přístup k oficiálním státním portálům byla v poslední době velmi žádaná. Obecně lze hovořit o běžném scénáři, kdy uživatel přistupuje ke konkrétním zdrojům. To může být zabezpečený komunikační kanál s IDM systémem, cloudovou platformou nebo jediným vstupním bodem, prostřednictvím kterého se provádí směrování na další zdroje.

Technicky existují dva scénáře pro použití kryptografických bran: site-to-site a client-to-site. Scénář site-to-site má dvě sady požadavků. První je geograficky distribuovaná síť: například tucet poboček spojených do společné sítě VPN. Druhá možnost je zabezpečený kanál mezi dvěma datovými centry.

Úkoly ochrany firemních dat během přenosu lze rozdělit do dvou kategorií: zásadou řízená VPN a směrovací VPN. Druhá možnost se stává relevantní, když se počet uzlů zvýší na několik tisíc zařízení. V případě ochrany páteře se obvykle používají nízkoúrovňová řešení a topologie bod-to-bod.

Při ochraně vysoce zatížených kanálů nelze omezit pouze na bod-to-bod architekturu. Řešení s architekturou bod-to-multipoint jsou na světovém trhu velmi žádaná. Velmi efektivní je ochrana kanálu na úrovni L2, protože pouze tento přístup může zaručit absenci zpoždění.

Je třeba mít na paměti, že ochrana site-to-site může být implementována na softwarové i hardwarové úrovni. V druhém případě může zákazník zvolit implementační možnost z hlediska, například, rychlostních charakteristik chráněného kanálu.

V důsledku zvýšení počtu zaměstnanců pracujících na dálku také vzrostla potřeba klient-to-klient scénářů, tj. pro vytvoření VPN spojení přímo mezi uživateli. Tyto kanály se používají pro rychlou komunikaci, video konference, telefonii a další úkoly.

Nicméně, nedošlo ke změně poptávky a technologických řešení při implementaci bod-to-bod komunikace. Používají se streamovací kódery, které poskytují dobrou rychlost spojení. Na druhé straně je rostoucí poptávka po efektivnějších komunikačních kanálech mezi datovými centry. V některých případech se jedná o spojení s šířkou pásma přes 100 GB, které vyžaduje celý cluster bran VPN.

Scénář organizování vzdáleného přístupu během pandemie ukázal významný růst a je v tomto sektoru, kde nastaly hlavní problémy se škálovatelností. Nejenom se změnila velikost a technologická řešení, jako je použití specializovaných load balancerů pro distribuci zátěže mezi desítkami tisíc VPN spojení, ale také se zkrátila doba implementace projektu.

Co se týče vztahu mezi scénáři použití kryptografických bran a požadovaným úrovní shody, je třeba poznamenat, že hrozba modelu je v tomto případě primární. Úroveň shody může být explicitně uvedena v regulační dokumentaci nebo nezávisle určena organizací.

Technické nuance výběru brány VPN

Pokud jde o rozdíly v šifrování bran VPN a případy, kdy se používají, je třeba mít na paměti, že model použití brány ve velké míře určuje úroveň ochrany. Existují různé technické prostředky pro implementaci úrovně ochrany L3; nicméně, návrh funkční sítě L2 je v tomto případě problematický, i když fundamentálně možný. Co se týče úrovně L4, stává se vlastně standardem pro přístup k veřejným internetovým zdrojům a firemním webům.

Duplicita dat a odolnost proti chybám jsou důležitými kritérii pro výběr brány VPN. Je třeba mít na paměti, že je nutné brát v úvahu odolnost proti chybám zařízení a řídicích systémů. Důležitými parametry jsou také rychlost přepnutí na záložní funkční cluster v případě nouze a rychlost obnovení systému do normálního stavu.

Velmi často nemá hardware deklarovanou úroveň střední dobu mezi poruchami uvedenou dodavatelem. Proto je pro zařízení používaná na páteři důležité nezapomenout na základní prostředky odolnosti proti chybám, jako je dvojí napájení nebo redundantní chladicí systémy.

Alternativní řešení pro ochranu komunikačních kanálů

Další důležité téma, které by zde mělo být zmíněno, jsou možné alternativy k branám VPN, stejně jako způsoby integrace řešení pro kryptografickou ochranu komunikačních kanálů s jinými bezpečnostními nástroji, jako jsou firewally, aby se zajistila lepší ochrana proti různým hrozbám.

Kromě kryptografických bran lze použít také vysoce výkonná hardwarová šifrovací zařízení pro ochranu kanálů, stejně jako jejich virtuální protějšky, které jsou dostatečně flexibilní, aby fungovaly téměř na všech úrovních modelu OSI. Kromě toho existují malé, jednočipové řešení ve formě transceiveru a moduly, které lze vložit do zařízení IoT.

Odborníci předpovídají, že individuální kryptografické brány jako zařízení postupně zmizí z trhu, aby ustoupily integrovaným systémům. Existuje jiný názor: jako pravidlo, univerzální systémy jsou levnější, ale jejich účinnost je nižší než specializovaná řešení. Úspěšná integrace může být také provedena v cloudu na úrovni poskytovatele služeb. V tomto případě rozhoduje poskytovatel služeb o problémech kompatibility a klient obdrží univerzální řešení s požadovanou funkcionalitou.

Prognózy trhu a vyhlídky

Vidím velkou potřebu zvýšit rychlost kryptografických bran a řešení této třídy budou vyvinuta, aby uspokojila tuto poptávku. Integrační procesy budou fungovat na trhu, ale výsledek tohoto hnutí je stále nejasný. Průmysl bran VPN bude poháněn zařízeními IoT, technologiemi 5G a pokračujícím růstem popularity práce na dálku. Některé nové niky pro kryptografická ochranná zařízení mohou být průmyslové řídicí systémy.

Jako podpora zabezpečených VPN kanálů na firemní úrovni vyžaduje vysoký stupeň odbornosti, zákazníci budou stále více měnit model použití těchto bezpečnostních řešení, outsourcovat řízení kryptografických bran poskytovatelům služeb. Důležitým trendem bude zvýšení pozornosti komponenty UX kryptografických bran, zvýšení pohodlí práce s nimi.

Jiný názor je, že trh kryptografických bran je odsouzen k zániku a v příštích pěti nebo deseti letech se tato řešení stanou nikovým produktem. Univerzální řešení a lokalizovaná zařízení je nahradí. Přesto se třída bran TLS bude vyvíjet.

Závěr

Při výběru prostředků kryptografické ochrany komunikačních kanálů je třeba vzít v úvahu nejen funkčnost konkrétního řešení, ale také jeho shodu s požadavky regulátorů. Při zvažování různých možností bran VPN je třeba přemýšlet o scénářích jejich použití, stejně jako o řešeních integrace s jinými bezpečnostními systémy. V některých případech může specializovaný systém lépe zajišťovat bezpečnost; nicméně, univerzální, multifunkční řešení často mají nejlepší poměr ceny a výkonu.

Related Topics:
mm

David Balaban je počítačový bezpečnostní výzkumník s více než 17 lety zkušeností v analýze malwaru a hodnocení antivirových softwarů. David provozuje MacSecurity.net a Privacy-PC.com projekty, které prezentují odborná stanoviska k současným informačním bezpečnostním otázkám, včetně sociálního inženýrství, malwaru, penetračního testování, threat intelligence, online soukromí a white hat hackingu. David má silné zázemí v odstraňování problémů s malwary, se současným zaměřením na protiopatření proti ransomwaru.