Connect with us

Cybersäkerhet

Insikter i företags-VPN-gatewayer

mm
Published
Updated

Vad är VPN-gatewayer till för? Har denna klass av lösningar en framtid? Vilka parametrar bör beaktas när kommunikationskanaler skyddas?

Många organisationer upplever ett brådskande behov av att skydda överförd data. Den massiva övergången till distansarbete har bara förstärkt denna trend. Vad bestämmer valet av en VPN-gateway — dess funktionalitet, pris eller tillgängligheten av nödvändiga certifikat? Låt oss ta en närmare titt på dessa frågor.

Hur en VPN-gateway kan konfigureras

När det gäller de praktiska alternativen för att använda kryptogatewayer, har skyddet av videokommunikationskanaler, telemedicin och säker åtkomst till officiella statliga portaler varit efterfrågade nyligen. I allmänhet kan vi prata om det vanliga scenariot när användaren får åtkomst till specifika resurser. Detta kan vara en säker kommunikationskanal med ett IDM-system, en molnplattform eller en enda ingångspunkt genom vilken routning till andra resurser utförs.

Tekniskt sett finns det två scenarier för att använda kryptogatewayer: site-to-site och client-to-site. Site-to-site-scenariot har två uppsättningar krav. Det första är ett geografiskt distribuerat nätverk: till exempel ett dussin filialer som är förenade i ett gemensamt VPN-nätverk. Det andra alternativet är en säker kanal mellan två datacenter.

Uppgifterna att skydda företagsdata under överföring kan delas in i policybaserad VPN och route-baserad VPN. Det senare alternativet blir relevant när antalet noder ökar till flera tusen enheter. I fallet med att skydda ryggraden, används då lågnivålösningar och en punkt-till-punkt-topologi vanligtvis.

När det gäller skyddet av högt belastade kanaler, kan man inte begränsa sig till punkt-till-punkt-arkitekturen. Punkt-till-multipunkt-arkitekturlösningar är i stor efterfrågan på världsmarknaden. Mycket effektivt är skyddet av kanalen på L2-nivån, eftersom endast detta tillvägagångssätt kan garantera att det inte finns några förseningar.

Det bör beaktas att site-to-site skydd kan implementeras på både programvaru- och maskinvarunivå. I det senare fallet kan kunden välja implementeringsalternativet i termer av, till exempel, skyddskanalens hastighetskaraktär.

På grund av den ökade mängden anställda som arbetar på distans, har behovet av client-to-client-scenarier också ökat, det vill säga för att bygga en VPN-anslutning direkt mellan användare. Sådana kanaler används för snabb kommunikation, videokonferenser, telefoni och andra uppgifter.

Men det fanns ingen betydande förändring i efterfrågan och tekniska lösningar när det gäller att implementera punkt-till-punkt-kommunikation. De använder strömkodare som ger en bra anslutningshastighet. Å andra sidan finns det en växande efterfrågan på mer effektiva kommunikationskanaler mellan datacenter. I vissa fall handlar det om anslutningar med en bandbredd på över 100 GB, vilket kräver en hel kluster av VPN-gatewayer.

I sin tur har scenariot för att organisera fjärråtkomst under en pandemi visat en betydande tillväxt, och det är i denna sektor som de största problemen med skalbarhet uppstod. Inte bara skalan och de tekniska lösningarna har förändrats, såsom användningen av specialiserade lastbalanserare för att distribuera belastningen mellan tiotusentals VPN-anslutningar, utan också projektets implementeringstid har blivit mycket kortare.

När det gäller sättet att använda kryptogatewayscenarier i förhållande till den krävda efterlevnadsnivån, bör det noteras att hotmodellen är av primär betydelse i detta ämne. Efterlevnadsnivån kan anges explicit i regulatorisk dokumentation eller bestämmas oberoende av organisationen.

Tekniska nyanser vid val av VPN-gateway

När det gäller skillnaderna i kryptering av VPN-gatewayer och de fall då de används, tänk på att gateway-användningsmodellen till stor del dikterar skyddsnivån. Det finns olika tekniska medel för att implementera L3-skyddsnivån; dock är det problematiskt att utforma ett fungerande L2-nätverk i detta fall, även om det i grunden är möjligt. När det gäller L4-nivån är det faktiskt på väg att bli standarden för att komma åt både offentliga internetresurser och företagssidor.

Dataredundans och fel tolerans är viktiga kriterier för att välja en VPN-gateway. Kom ihåg att det är nödvändigt att ta hänsyn till fel toleransen för utrustning och kontrollsystem. De viktiga parametrarna är också hastigheten för att växla till en reservkluster i händelse av en nödsituation och hastigheten för att återställa systemet till ett normalt tillstånd.

Ganska ofta har hårdvaran inte den medel tid mellan fel som deklarerats av leverantören. Därför är det viktigt att inte glömma de grundläggande medlen för fel tolerans, såsom dubbel strömförsörjning eller redundanta kylsystem, för utrustning som används på ryggraden.

Alternativa lösningar för att skydda kommunikationskanaler

Andra viktiga ämnen som bör beröras här är möjliga alternativ till VPN-gatewayer, samt sätt att integrera lösningar för kryptografiskt skydd av kommunikationskanalerna med andra säkerhetsverktyg, såsom brandväggar, för att säkerställa bättre skydd mot olika hot.

Förutom kryptogatewayer kan högpresterande hårdvaruenkrypteringsenheter användas för att skydda kanaler, samt deras virtuella motsvarigheter, som är tillräckligt flexibla för att fungera på nästan alla nivåer av OSI-modellen. Dessutom finns det små, enkortslösningar i transceiverns formfaktor och moduler som kan infogas i IoT-enheter.

Experter förutspår att individuella kryptogatewayer som enheter kommer att långsamt försvinna från marknaden och ge plats åt integrerade system. Det finns en annan synvinkel: som regel är universella system billigare, men deras effektivitet är lägre än specialiserade lösningar. En lyckad integration kan också utföras i molnet på tjänsteleverantörens nivå. I detta fall bestämmer tjänsteleverantören kompatibilitetsfrågorna, och kunden får ett universellt system med den nödvändiga funktionaliteten.

Marknadsprognoser och utsikter

Jag ser ett stort behov av att öka hastigheten på kryptogatewayer, och lösningar i denna klass kommer att utvecklas för att tillfredsställa denna begäran. Integreringsprocesser kommer att fungera på marknaden, men resultatet av en sådan rörelse är fortfarande oklart. VPN-gateway-industrin kommer att drivas av IoT-enheter, 5G-teknologier och den fortsatta tillväxten i popularitet för distansarbete. Vissa nya nischer för kryptografiska skyddverktyg kan vara industriella styrsystem.

När det gäller stöd för säkra VPN-kanaler på företagsnivå krävs en hög grad av expertis, och kunderna kommer alltmer att ändra modellen för att använda sådana informationssäkerhetslösningar, och outsourca hanteringen av kryptogatewayer till tjänsteleverantörer. En viktig trend kommer att vara en ökning av uppmärksamheten på UX-komponenten i kryptogatewayer, en ökning av bekvämligheten med att arbeta med dem.

En annan synvinkel är att kryptogateway-marknaden är dömd, och under de närmaste fem eller tio åren kommer sådana lösningar att förvandlas till en nischprodukt. Universella lösningar och lokal utrustning kommer att ersätta dem. Trots allt kommer klassen av TLS-gatewayer att utvecklas.

Slutsats

När man väljer medel för kryptografiskt skydd av kommunikationskanaler, är det nödvändigt att ta hänsyn inte bara till funktionaliteten hos en viss lösning, utan också dess överensstämmelse med kraven från regulatorer. När man överväger olika alternativ för VPN-gatewayer, är det värt att tänka på scenarierna för deras användning, samt lösa frågorna om integration med andra informationssäkerhetssystem. I vissa fall kan ett specialiserat system säkerställa bättre säkerhet; dock har universella, multifunktionella lösningar ofta den bästa kostnadseffektiviteten.

Related Topics:
mm

David Balaban är en datorsäkerhetsforskare med över 17 års erfarenhet av malwareanalys och utvärdering av antivirusprogram. David driver MacSecurity.net och Privacy-PC.com projekt som presenterar expertråd om samtida informations säkerhetsfrågor, inklusive social ingenjörskonst, malware, penetrationstestning, hotintelligens, online integritet och white hat-hacking. David har en stark bakgrund inom felsökning av malware, med ett nyligt fokus på motåtgärder mot ransomware.