Connect with us

Cyberbeveiliging

Inzichten in corporate VPN-gateways

mm
Published
Updated

Wat zijn VPN-gateways voor? Heeft deze klasse oplossingen een toekomst? Welke parameters moeten worden overwogen bij het beveiligen van communicatiekanalen?

Veel organisaties ervaren een dringende behoefte om verzonden gegevens te beveiligen. De massale overgang naar remote work heeft deze trend alleen maar versterkt. Wat bepaalt de keuze van een VPN-gateway — de functionaliteit, de prijs of de beschikbaarheid van de noodzakelijke certificaten? Laten we een diepgaande blik werpen op deze kwesties.

Hoe een VPN-gateway kan worden geconfigureerd

Wat betreft de praktische opties voor het gebruik van crypto-gateways, is de beveiliging van videocommunicatiekanalen, telemedicine en beveiligde toegang tot officiële overheidsportals recentelijk in trek. In het algemeen kunnen we spreken over het gebruikelijke scenario waarin de gebruiker toegang heeft tot specifieke resources. Dit kan een beveiligde communicatiekanaal zijn met een IDM-systeem, een cloud-platform of een enkel toegangspunt waarlangs routing naar andere resources wordt uitgevoerd.

Technisch gezien zijn er twee scenario’s voor het gebruik van crypto-gateways: site-to-site en client-to-site. Het site-to-site-scenario heeft twee sets van vereisten. De eerste is een geografisch gedistribueerd netwerk: bijvoorbeeld een dozijn vestigingen die zijn verenigd in een gemeenschappelijk VPN-netwerk. De tweede optie is een beveiligd kanaal tussen twee datacenters.

De taken van het beveiligen van bedrijfsgegevens in transit kunnen worden onderverdeeld in policy-based VPN en route-based VPN. De laatste optie wordt relevant wanneer het aantal knooppunten toeneemt tot enkele duizenden apparaten. In het geval van het beveiligen van de backbone, worden laagdrempelige oplossingen en een point-to-point-topologie meestal gebruikt.

Als we spreken over de beveiliging van zwaar belaste kanalen, kan men niet alleen beperkt blijven tot de point-to-point-architectuur. De point-to-multipoint-architectuur-oplossingen zijn in grote vraag op de wereldmarkt. Zeer effectief is de beveiliging van het kanaal op L2-niveau, aangezien alleen deze aanpak de afwezigheid van vertragingen kan garanderen.

Het moet in gedachten worden gehouden dat site-to-site beveiliging kan worden geïmplementeerd op zowel software- als hardware-niveau. In het laatste geval kan de klant de implementatie-optie kiezen in termen van, bijvoorbeeld, de snelheidskenmerken van het beveiligde kanaal.

Vanwege de toename van het aantal werknemers dat op afstand werkt, is de behoefte aan client-to-client-scenario’s ook toegenomen, dat wil zeggen voor het opbouwen van een VPN-verbinding rechtstreeks tussen gebruikers. Dergelijke kanalen worden gebruikt voor snelle communicatie, videoconferencing, telefoon en andere taken.

Er was echter geen significante verandering in vraag en technologische oplossingen bij de implementatie van point-to-point-communicatie. Ze gebruiken stream-encoders die een goede verbindingssnelheid bieden. Aan de andere kant is er een groeiende vraag naar efficiëntere communicatiekanalen tussen datacenters. In sommige gevallen gaat het om verbindingen met een bandbreedte van meer dan 100 GB, waardoor een hele cluster van VPN-gateways nodig is.

In turn, het scenario van het organiseren van remote toegang tijdens een pandemie heeft een significante groei laten zien, en het is in deze sector dat de belangrijkste problemen met schaalbaarheid zijn opgetreden. Niet alleen de schaal en technologische oplossingen zijn veranderd, zoals het gebruik van gespecialiseerde load balancers om de belasting tussen tienduizenden VPN-verbindingen te distribueren, maar ook de projectimplementatie-tijdlijn is veel korter geworden.

Met betrekking tot de manier waarop de crypto-gateway-gebruiksscenario’s zijn gerelateerd aan het vereiste conformiteitsniveau, moet worden opgemerkt dat het bedreigingsmodel van primair belang is in deze kwestie. Het conformiteitsniveau kan expliciet worden aangegeven in de regelgevingsdocumentatie of onafhankelijk worden bepaald door de organisatie.

Technische nuances van het kiezen van een VPN-gateway

Wat betreft de verschillen in encryptie van VPN-gateways en de gevallen waarin ze worden gebruikt, houdt u er rekening mee dat het gateway-gebruiksmodel grotendeels de beveiligingsniveau dicteert. Er zijn verschillende technische middelen om het L3-beveiligingsniveau te implementeren; het ontwerpen van een functionerend L2-netwerk is echter problematisch, hoewel het fundamenteel mogelijk is. Wat betreft het L4-niveau, wordt het eigenlijk de standaard voor toegang tot zowel openbare internetbronnen als bedrijfsites.

Gegevensredundantie en fouttolerantie zijn belangrijke criteria voor het kiezen van een VPN-gateway. Onthoud, het is noodzakelijk om rekening te houden met de fouttolerantie van apparatuur en besturingssystemen. De belangrijke parameters zijn ook de snelheid van overschakelen naar een reserve-werkcluster in geval van een noodsituatie en de snelheid van herstellen van het systeem naar een normale staat.

Het hardware heeft vaak niet het gemiddelde tijd tussen storingen niveau dat door de leverancier is verklaard. Daarom is het voor de apparatuur die op de backbone wordt gebruikt, belangrijk om niet te vergeten de basismiddelen voor fouttolerantie, zoals een dubbele voeding of redundante koelsystemen.

Alternatieve oplossingen voor het beveiligen van communicatiekanalen

Andere belangrijke onderwerpen die hier moeten worden aangestipt, zijn mogelijke alternatieven voor VPN-gateways, evenals manieren om oplossingen voor cryptografische beveiliging van communicatiekanalen te integreren met andere beveiligingshulpmiddelen, zoals firewalls, om betere bescherming tegen verschillende bedreigingen te garanderen.

Naast crypto-gateways kunnen high-performance-hardware-encryptie-apparaten worden gebruikt om kanalen te beveiligen, evenals hun virtuele tegenhangers, die flexibel genoeg zijn om te werken op bijna alle niveaus van het OSI-model. Bovendien zijn er kleine, single-board-oplossingen in de transceiver-vormfactor en modules die kunnen worden ingebed in IoT-apparaten.

Experts voorspellen dat individuele crypto-gateways als apparaten langzaam van de markt zullen verdwijnen, waardoor geïntegreerde systemen de plaats innemen. Er is een ander standpunt: universele systemen zijn meestal goedkoper, maar hun effectiviteit is lager dan gespecialiseerde oplossingen. Succesvolle integratie kan ook worden uitgevoerd in de cloud op het niveau van de dienstverlener. In dit geval beslist de dienstverlener de compatibiliteitsproblemen, en de klant ontvangt een universele oplossing met de noodzakelijke functionaliteit.

Marktprognoses en vooruitzichten

Ik zie een grote behoefte om de snelheid van crypto-gateways te verhogen, en oplossingen van deze klasse zullen worden ontwikkeld om aan dit verzoek te voldoen. Integratieprocessen zullen op de markt werken, maar het resultaat van een dergelijke beweging is nog onduidelijk. De VPN-gateway-industrie zal worden aangedreven door IoT-apparaten, 5G-technologieën en de voortdurende groei in populariteit van remote work. Sommige nieuwe niches voor cryptografische beveiligingshulpmiddelen kunnen industriële besturingssystemen zijn.

Wat betreft de manier waarop de crypto-gateway-gebruiksscenario’s zijn gerelateerd aan de vereiste conformiteitsniveau, moet worden opgemerkt dat de threat model van primair belang is in deze kwestie. De conformiteitsniveau kan expliciet worden aangegeven in de regelgevingsdocumentatie of onafhankelijk worden bepaald door de organisatie.

Conclusie

Bij het kiezen van middelen voor cryptografische beveiliging van communicatiekanalen, is het noodzakelijk om niet alleen rekening te houden met de functionaliteit van een bepaalde oplossing, maar ook met de conformiteit met de vereisten van de regelgevers. Bij het overwegen van verschillende opties voor VPN-gateways, is het de moeite waard om na te denken over de scenario’s voor hun gebruik, evenals het oplossen van problemen met integratie met andere beveiligingssystemen. In sommige gevallen kan een gespecialiseerd systeem de beveiliging beter garanderen; echter, universele, multifunctionele oplossingen hebben vaak de beste kostenefficiëntie.

Related Topics:
mm

David Balaban is een computerbeveiligingsonderzoeker met meer dan 17 jaar ervaring in malwareanalyse en beoordeling van antivirussoftware. David runt MacSecurity.net en Privacy-PC.com projecten die deskundige meningen presenteren over hedendaagse informatiebeveiligingskwesties, waaronder sociale manipulatie, malware, penetratietests, bedreigingsinformatie, onlineprivacy en white hat-hacking. David heeft een sterke achtergrond in malware-ontwikkelingsonderzoek, met een recente focus op ransomware-tegenmaatregelen.