Connect with us

Cybersikkerhed

Indsigter i virksomhedens VPN-gateways

mm
Published
Updated

Hvad er VPN-gateways til? Har denne klasse af løsninger en fremtid? Hvilke parametre skal være med, når man beskytter kommunikationskanaler?

Mange organisationer oplever et presserende behov for at beskytte overført data. Den massive overgang til hjemmearbejde har kun styrket denne trend. Hvad bestemmer valget af en VPN-gateway – dens funktionalitet, pris eller tilgængeligheden af de nødvendige certifikater? Lad os tage en dybtgående kig på disse spørgsmål.

Hvordan en VPN-gateway kan konfigureres

Når det kommer til de praktiske muligheder for at bruge krypto-gateways, har beskyttelsen af video-kommunikationskanaler, telemedicin og sikker adgang til officielle statsportaler været i høj kurs. Generelt kan vi tale om det almindelige scenarie, hvor brugeren får adgang til bestemte ressourcer. Dette kan være en sikker kommunikationskanal med et IDM-system, en cloud-platform eller en enkelt indgangspunkt, hvor routing til andre ressourcer udføres.

Teknisk set findes der to scenarier for at bruge krypto-gateways: site-to-site og client-to-site. Site-to-site-scenariet har to sæt krav. Det første er et geografisk distribueret netværk: for eksempel et dusin afdelinger forenet i et fælles VPN-netværk. Det andet alternativ er en sikker kanal mellem to datacenter.

Opgaverne med at beskytte virksomhedens data under overførsel kan deles ind i policy-baseret VPN og route-baseret VPN. Det sidste alternativ bliver relevant, når antallet af noder øges til flere tusinde enheder. I tilfælde af beskyttelse af backbone, så bruges lavniveausløsninger og en point-to-point-topologi som regel.

Når det kommer til beskyttelsen af højt belastede kanaler, kan man ikke blot begrænse sig til point-to-point-arkitekturen. Point-to-multipoint-arkitekturløsninger er i stor efterspørgsel på verdensmarkedet. Beskyttelsen af kanalen på L2-niveau er meget effektiv, da kun denne tilgang kan garantere, at der ikke er nogen forsinkelser.

Det skal være bemærket, at site-to-site beskyttelse kan implementeres både på software- og hardwareniveau. I sidstnævnte tilfælde kan kunden vælge implementeringsmuligheden i forhold til, for eksempel, hastigheds karakteristika for den beskyttede kanal.

På grund af den øgede mængde af ansatte, der arbejder hjemmefra, er behovet for client-to-client-scenarier også øget, det vil sige for at opbygge en VPN-forbindelse direkte mellem brugere. Sådanne kanaler bruges til hurtig kommunikation, video-konferencer, telefoni og andre opgaver.

Der var dog ingen væsentlig ændring i efterspørgsel og teknologiske løsninger, når det kommer til implementering af point-to-point-kommunikation. De bruger stream-encodere, som giver en god forbindelseshastighed. På den anden side er der en stigende efterspørgsel efter mere effektive kommunikationskanaler mellem datacenter. I nogle tilfælde handler det om forbindelser med en båndbredde på over 100 GB, som kræver en hel cluster af VPN-gateways.

I turnuren har scenariet for at organisere fjernadgang under en pandemi vist en betydelig vækst, og det er i denne sektor, at de primære problemer med skalerbarhed opstod. Ikke kun skalaen og teknologiske løsninger har ændret sig, såsom brugen af specialiserede load balancere til at distribuere belastningen mellem titusinder af VPN-forbindelser, men også projektimplementeringstidslinjen er blevet meget kortere.

Med hensyn til, hvordan krypto-gateway-brugs-scenarierne er relateret til det nødvendige overholdelsesniveau, skal det bemærkes, at trusselforholdet er af primær betydning i denne sag. Overholdelsesniveauet kan være udtrykt explicit i reguleringsdokumentationen eller bestemmes uafhængigt af organisationen.

Tekniske nuancer ved valg af en VPN-gateway

Når det kommer til forskellene i kryptering af VPN-gateways og tilfældene, hvor de bruges, skal det bemærkes, at gateway-brugsmodellen i høj grad dikterer beskyttelsesniveauet. Der findes forskellige tekniske midler til at implementere L3-beskyttelsesniveauet; dog er det problematisk at designe et fungerende L2-netværk i dette tilfælde, selvom det i princippet er muligt. Når det kommer til L4-niveauet, bliver det faktisk standarden for adgang til både offentlige internetressourcer og virksomhedswebsteder.

Data-redundans og fejltilstand er vigtige kriterier for valg af en VPN-gateway. Husk, at det er nødvendigt at tage fejltilstanden for udstyret og kontrolsystemerne i betragtning. De vigtige parametre er også hastigheden af omstilling til en reserve-arbejdsklynge i tilfælde af en nødsituation og hastigheden af at gensende systemet til en normal tilstand.

Meget ofte har hardware ikke det gennemsnitlige tid mellem fejl-niveau, der erklæret af leverandøren. Derfor er det vigtigt ikke at glemme de grundlæggende midler til fejltilstand for udstyret, der bruges på backbone, såsom dobbelt strømforsyning eller redundant kølesystem.

Alternative løsninger til beskyttelse af kommunikationskanaler

Andre vigtige emner, der skal berøres her, er mulige alternativer til VPN-gateways samt måder at integrere løsninger for kryptografisk beskyttelse af kommunikationskanaler med andre sikkerhedsværktøjer som firewalls for at sikre bedre beskyttelse mod forskellige trusler.

Ud over krypto-gateways kan højpræstations-hardware-krypteringsenheder bruges til at beskytte kanaler, samt deres virtuelle modstykker, der er fleksible nok til at fungere på næsten alle niveauer af OSI-modellen. Derudover findes der små, enkeltbræddede løsninger i transceiver-formfaktor og moduler, der kan indbygges i IoT-enheder.

Eksperter forudser, at individuelle krypto-gateways som enheder vil forlade markedet gradvist, hvorefter de vil blive erstattet af integrerede systemer. Der er en anden opfattelse: som regel er universelle systemer billigere, men deres effektivitet er lavere end specialiserede løsninger. En succesfuld integration kan også udføres i skyen på servicudbyderens niveau. I dette tilfælde beslutter servicudbyderen kompatibilitetsproblemerne, og kunden modtager en universel løsning med den nødvendige funktionalitet.

Markedsprognoser og udsigter

Jeg ser et stort behov for at øge hastigheden af krypto-gateways, og løsninger af denne klasse vil blive udviklet for at tilfredsstille denne anmodning. Integrationsprocesser vil fungere på markedet, men resultatet af en sådan bevægelse er stadig usikkert. VPN-gateway-industrien vil blive drevet af IoT-enheder, 5G-teknologier og den fortsatte vækst i populariteten af hjemmearbejde. Nogle nye nicher for kryptografiske beskyttelsesværktøjer kan være industrielle kontrolsystemer.

Da støtten til sikre VPN-kanaler på virksomhedsniveau kræver et højt niveau af ekspertise, vil kunderne i stigende grad ændre modellen for brug af sådanne informations sikkerheds løsninger, ved at outsourcere ledelsen af krypto-gateways til servicudbydere. En vigtig trend vil være en øget opmærksomhed på UX-komponenten af krypto-gateways, en øget bekvemmelighed ved at arbejde med dem.

En anden opfattelse er, at krypto-gateway-markedet er dømt, og inden for de næste fem eller ti år vil sådanne løsninger udvikle sig til en nicheprodukt. Universelle løsninger og lokaliseret udstyr vil erstatte dem. Alligevel vil klassen af TLS-gateways udvikle sig.

Konklusion

Når det kommer til valg af midler til kryptografisk beskyttelse af kommunikationskanaler, er det nødvendigt at tage ikke kun funktionen af en bestemt løsning i betragtning, men også dens overholdelse af regulatorernes krav. Ved at overveje forskellige muligheder for VPN-gateways, er det værd at tænke over scenarierne for deres brug samt løsning af spørgsmål om integration med andre informations sikkerhedssystemer. I nogle tilfælde kan et specialiseret system bedre sikre sikkerheden; dog har universelle, multifunktionelle løsninger ofte den bedste omkostningseffektivitet.

Related Topics:
mm

David Balaban er en computer sikkerhedsforsker med over 17 års erfaring i malwareanalyse og antivirus software evaluering. David driver MacSecurity.net og Privacy-PC.com projekter, der præsenterer ekspertråd på moderne informations sikkerhedsspørgsmål, herunder social engineering, malware, penetrationstest, trusselsintelligens, online privatliv og white hat hacking. David har en stærk baggrund i malware fejlfinding, med en seneste fokus på ransomware modforanstaltninger.