Connect with us

Κυβερνοασφάλεια

Εισichten στα Corporate VPN Gateways

mm
Published
Updated

Τι είναι τα VPN gateways; Έχει αυτό το είδος λύσεων μέλλον; Ποια παραμέτρα πρέπει να λαμβάνονται υπόψη κατά την προστασία των καναλιών επικοινωνίας;

Πολυάριθμες οργανώσεις βιώνουν επείγουσα ανάγκη για προστασία των μεταδιδομένων δεδομένων. Η μαζική μετάβαση στην τηλεργασία έχει ενισχύσει αυτή την τάση. Τι καθορίζει την επιλογή ενός VPN gateway — η λειτουργικότητά του, η τιμή, ή η διαθεσιμότητα των απαραίτητων πιστοποιητικών; Ας ρίξουμε μια πιο sâuμένη ματιά σε αυτά τα ζητήματα.

Πώς μπορεί να ρυθμιστεί ένα VPN gateway

Όσον αφορά τις πρακτικές επιλογές για τη χρήση crypto gateways, η προστασία των καναλιών επικοινωνίας βίντεο, τηλειατρικής και ασφαλούς πρόσβασης στα επίσημα κρατικά πόρταλ έχουν ζητηθεί πρόσφατα. Γενικά, μπορούμε να μιλήσουμε για το κοινό σενάριο όταν ο χρήστης έχει πρόσβαση σε συγκεκριμένα recursos. Αυτό μπορεί να είναι ένα ασφαλές κανάλι επικοινωνίας με ένα IDM system, μια cloud πλατφόρμα, ή ένα σημείο εισόδου μέσω του οποίου πραγματοποιείται η διαδρομή σε άλλα recursos.

Τεχνικά, υπάρχουν δύο σενάρια για τη χρήση crypto gateways: site-to-site και client-to-site. Το σενάριο site-to-site έχει δύο σύνολα απαιτήσεων. Η πρώτη είναι ένα γεωγραφικά κατανεμημένο δίκτυο: για παράδειγμα, ένα δωδεκάδα κλαδικών που ενωμένα σε ένα κοινό VPN δίκτυο. Η δεύτερη επιλογή είναι ένα ασφαλές κανάλι μεταξύ δύο κέντρων δεδομένων.

Οι εργασίες προστασίας των εταιρικών δεδομένων κατά τη μεταφορά μπορούν να διαιρεθούν σε policy-based VPN και route-based VPN. Η τελευταία επιλογή γίνεται σχετική όταν ο αριθμός των κόμβων αυξάνεται σε几 χιλιάδες συσκευές. Σε περίπτωση προστασίας του backbone, τότε οι χαμηλού επιπέδου λύσεις και η τοπολογία σημείο-σημείο χρησιμοποιούνται συνήθως.

Μιλώντας για την προστασία των καναλιών υψηλής φόρτου, δεν μπορεί να περιοριστεί μόνο στην αρχιτεκτονική σημείο-σημείο. Οι λύσεις αρχιτεκτονικής σημείο-πολύ σημείο είναι σε μεγάλη ζήτηση στην παγκόσμια αγορά. Πολύ αποτελεσματική είναι η προστασία του καναλιού στο επίπεδο L2,既然 μόνο αυτή η προσέγγιση μπορεί να εγγυηθεί την απουσία καθυστερήσεων.

Πρέπει να ληφθεί υπόψη ότι η προστασία site-to-site μπορεί να υλοποιηθεί τόσο σε επίπεδο λογισμικού όσο και σε επίπεδο υλικού. Σε αυτή την περίπτωση, ο πελάτης μπορεί να επιλέξει την υλοποίηση της επιλογής όσον αφορά, για παράδειγμα, τις ταχύτητες χαρακτηριστικών του προστατευόμενου καναλιού.

Λόγω της αύξησης του αριθμού των εργαζομένων που εργάζονται από απόσταση, η ανάγκη για σενάρια client-to-client έχει αυξηθεί επίσης, δηλαδή για την κατασκευή μιας VPN σύνδεσης απευθείας μεταξύ χρηστών. Такие κανάλια χρησιμοποιούνται για γρήγορη επικοινωνία, τηλεδιάσκεψη, τηλεφωνία και άλλες εργασίες.

Ωστόσο, δεν υπήρξε σημαντική αλλαγή στην ζήτηση και τις τεχνολογικές λύσεις κατά την υλοποίηση της επικοινωνίας σημείο-σημείο. Χρησιμοποιούν κωδικοποιητές ροής που παρέχουν μια καλή ταχύτητα σύνδεσης. Από την άλλη πλευρά, υπάρχει μια αυξανόμενη ζήτηση για πιο αποτελεσματικά κανάλια επικοινωνίας μεταξύ κέντρων δεδομένων. Σε ορισμένες περιπτώσεις, πρόκειται για συνδέσεις με εύρος ζώνης hơn 100 GB, που απαιτούν ολόκληρο cluster VPN gateways.

Αντίστροφα, το σενάριο οργάνωσης της απομακρυσμένης πρόσβασης κατά τη διάρκεια της πανδημίας έχει δείξει σημαντική αύξηση, και είναι σε αυτόν τον τομέα που προέκυψαν τα κύρια προβλήματα με την κλιμάκωση. Όχι μόνο η κλίμακα και οι τεχνολογικές λύσεις έχουν αλλάξει, όπως η χρήση εξειδικευμένων load balancers για τη διανομή του φορτίου μεταξύ δεκάδων χιλιάδων VPN συνδέσεων, αλλά και ο χρονοδιάγραμμα υλοποίησης του έργου έχει γίνει πολύ πιο σύντομος.

Σχετικά με τον τρόπο που οι σενάρια χρήσης των crypto gateways σχετίζονται με το απαιτούμενο επίπεδο συμμόρφωσης, πρέπει να σημειωθεί ότι το μοντέλο απειλής είναι της πρωταρχικής σημασίας σε αυτό το ζήτημα. Το επίπεδο συμμόρφωσης μπορεί να υποδείχνεται ρητά στην κανονιστική τεκμηρίωση ή να καθορίζεται ανεξάρτητα από την οργάνωση.

Τεχνικές λεπτομέρειες της επιλογής ενός VPN gateway

Όσον αφορά τις διαφορές στην κρυπτογράφηση των VPN gateways και τις περιπτώσεις που χρησιμοποιούνται, πρέπει να ληφθεί υπόψη ότι το μοντέλο χρήσης της πύλης καθορίζει σε μεγάλο βαθμό το επίπεδο προστασίας. Υπάρχουν διάφορα τεχνικά μέσα για την υλοποίηση του επιπέδου L3 προστασίας, ωστόσο, η σχεδίαση ενός λειτουργικού δικτύου L2 σε αυτή την περίπτωση είναι προβληματική, αν και θεμελιωδώς δυνατή. Όσον αφορά το επίπεδο L4, γίνεται фактически το πρότυπο για πρόσβαση τόσο σε δημόσιους πόρους του Internet όσο και σε εταιρικούς ιστότοπους.

Η διπλή αναπαραγωγή δεδομένων και η αντοχή σε σφάλματα είναι σημαντικά κριτήρια για την επιλογή ενός VPN gateway. Θυμηθείτε, είναι απαραίτητο να ληφθεί υπόψη η αντοχή σε σφάλματα του εξοπλισμού και των συστημάτων ελέγχου. Τα σημαντικά παραμέτρα είναι επίσης η ταχύτητα της μεταγωγής σε ένα εφεδρικό cluster εργασίας σε περίπτωση έκτακτης ανάγκης και η ταχύτητα επαναφοράς του συστήματος σε μια κανονική κατάσταση.

Συχνά, ο εξοπλισμός δεν έχει το μεσοδιάστημα μεταξύ σφαλμάτων που δηλώνεται από τον προμηθευτή. Για αυτόν τον λόγο, για τον εξοπλισμό που χρησιμοποιείται στο backbone, είναι σημαντικό να μην ξεχάσουμε τα βασικά μέσα αντοχής σε σφάλματα, όπως η διπλή τροφοδοσία ή οι διπλοί ψυκτικοί συστήματα.

Εναλλακτικές λύσεις για την προστασία των καναλιών επικοινωνίας

Άλλα σημαντικά θέματα που πρέπει να θιγούν εδώ είναι οι πιθανές εναλλακτικές λύσεις για τα VPN gateways, καθώς και οι τρόποι για την ενοποίηση λύσεων για κρυπτογραφική προστασία των καναλιών επικοινωνίας με άλλα εργαλεία ασφαλείας, όπως τα firewalls, για να διασφαλιστεί καλύτερη προστασία από διάφορες απειλές.

Εκτός από τα crypto gateways, μπορούν να χρησιμοποιηθούν υψηλής απόδοσης υλικές συσκευές κρυπτογράφησης για την προστασία των καναλιών, καθώς και οι εικονικές τους αντίστοιχες, οι οποίες είναι αρκετά ευέλικτες για να εργαστούν σε σχεδόν όλα τα επίπεδα του OSI μοντέλου. Επιπλέον, υπάρχουν μικρές, μονόπλευρες λύσεις σε μορφή transceiver και μονάδες που μπορούν να ενσωματωθούν σε συσκευές IoT.

Οι εμπειρογνώμονες προβλέπουν ότι τα ατομικά crypto gateways ως συσκευές θα εξαφανιστούν σταδιακά από την αγορά, δίνοντας τη θέση τους σε ολοκληρωμένα συστήματα. Υπάρχει μια άλλη άποψη: ως κανόνας, τα ολοκληρωμένα συστήματα είναι φθηνότερα, αλλά η αποτελεσματικότητά τους είναι χαμηλότερη από τις εξειδικευμένες λύσεις. Η επιτυχημένη ενοποίηση μπορεί επίσης να πραγματοποιηθεί στο cloud, στο επίπεδο του παρόχου υπηρεσιών. Σε αυτή την περίπτωση, ο πάροχος υπηρεσιών αποφασίζει τα ζητήματα συμβατότητας, και ο πελάτης λαμβάνει μια ολοκληρωμένη λύση με την απαραίτητη λειτουργικότητα.

Προβλέψεις αγοράς και προοπτικές

Βλέπω μια μεγάλη ανάγκη για αύξηση της ταχύτητας των crypto gateways, και οι λύσεις αυτής της κατηγορίας θα αναπτυχθούν για να ικανοποιήσουν αυτή την απαίτηση. Οι διαδικασίες ενοποίησης θα λειτουργήσουν στην αγορά, αλλά το αποτέλεσμα τέτοιου κινήματος είναι ακόμη αβέβαιο. Η βιομηχανία VPN gateways θα οδηγείται από τις συσκευές IoT, τις τεχνολογίες 5G και την συνεχιζόμενη αύξηση της δημοτικότητας της τηλεργασίας. Ορισμένα νέα κενά για εργαλεία κρυπτογραφικής προστασίας μπορούν να είναι τα συστήματα ελέγχου βιομηχανίας.

Όσον αφορά τον τρόπο που οι πελάτες θα αλλάξουν το μοντέλο χρήσης των λύσεων ασφαλείας της πληροφορίας, θα αυξηθεί η ανάγκη για εξωτερική διαχείριση των crypto gateways. Ένας σημαντικός趨勢 θα είναι η αύξηση της προσοχής στο UX συστατικό των crypto gateways, η αύξηση της ευκολίας εργασίας με αυτά.

Μια άλλη άποψη είναι ότι η αγορά crypto gateways είναι καταδικασμένη, και μέσα στα επόμενα πέντε ή δέκα χρόνια, τέτοιες λύσεις θα γίνουν ένα νίς προϊόν. Οι ολοκληρωμένες λύσεις και το τοπικό εξοπλισμό θα τις αντικαταστήσουν. Παρόλα αυτά, η κατηγορία των TLS gateways θα εξελιχθεί.

Συμπέρασμα

Όταν επιλέγονται μέσα για κρυπτογραφική προστασία των καναλιών επικοινωνίας, είναι απαραίτητο να ληφθούν υπόψη όχι μόνο η λειτουργικότητα μιας συγκεκριμένης λύσης, αλλά και η συμμόρφωσή της με τις απαιτήσεις των ρυθμιστικών αρχών. Λαμβάνοντας υπόψη διάφορες επιλογές για VPN gateways, αξίζει να σκεφτούμε τα σενάρια χρήσης τους, καθώς και να λύσουμε τα ζητήματα ενοποίησης με άλλα συστήματα ασφαλείας της πληροφορίας. Σε ορισμένες περιπτώσεις, ένα εξειδικευμένο σύστημα μπορεί να διασφαλίσει καλύτερη ασφάλεια, ωστόσο, οι ολοκληρωμένες, πολυλειτουργικές λύσεις έχουν συχνά την καλύτερη αποδοτικότητα.

Related Topics:
mm

Ο David Balaban είναι ερευνητής υπολογιστικής ασφάλειας με πάνω από 17 χρόνια εμπειρίας στην ανάλυση κακόβουλου λογισμικού και αξιολόγηση λογισμικού αντίμετρου ιών. Ο David διαχειρίζεται τα projects MacSecurity.net και Privacy-PC.com που παρουσιάζουν ειδικές γνώμες σε σύγχρονα θέματα ασφάλειας πληροφοριών, συμπεριλαμβανομένης της κοινωνικής μηχανικής, κακόβουλου λογισμικού, δοκιμής διείσδυσης, ευφυίας απειλών, διαδικτυακής ιδιωτικής ζωής και white hat hacking. Ο David έχει ισχυρό υπόβαθρο στην αντιμετώπιση προβλημάτων κακόβουλου λογισμικού, με πρόσφατο επίκεντρο στις αντιμετρόπες για το ransomware.