关注我们.

网络安全

深入了解企业 VPN 网关

mm

发布时间

4年前

 on

VPN 网关有什么用? 这类解决方案有未来吗? 保护通信信道时应考虑哪些参数?

许多组织迫切需要保护传输的数据。 向远程工作的大规模转变只会强化这一趋势。 是什么决定了 VPN 网关的选择——它的功能、价格还是必要证书的可用性? 让我们深入研究一下这些问题。

如何配置 VPN 网关

至于使用加密网关的实用选项,最近需要保护视频通信通道、远程医疗和安全访问官方国家门户网站。 总的来说,我们可以谈谈用户访问特定资源时的常见场景。 这可以是一个安全的通信通道 IDM系统、云平台或单个入口点,通过它执行到其他资源的路由。

从技术上讲,使用加密网关有两种场景:站点到站点和客户端到站点。 站点到站点场景有两组要求。 第一个是地理上分散的网络:例如,十几个分支机构联合起来 进入公共 VPN 网络。 第二个选项是两个数据中心之间的安全通道。

保护传输中的企业数据的任务可以分为基于策略的VPN和基于路由的VPN。 当节点数量增加到数千个设备时,后一个选项就变得相关。 在保护主干网的情况下,通常使用低级解决方案和点对点拓扑。

谈到高负载通道的保护,不能仅仅局限于点对点的架构。 点对多点架构解决方案在全球市场上需求量很大。 L2 级别的通道保护非常有效,因为只有这种方法才能保证不存在延迟。

应该记住的是,站点到站点 可以实施保护 在软件和硬件层面上。 在后一种情况下,客户可以根据例如受保护通道的速度特性来选择实施选项。

由于远程工作的员工数量增加,对客户端到客户端场景的需求也随之增长,即直接在用户之间建立 VPN 连接。 此类通道用于快速通信、视频会议、电话和其他任务。

但在实现点对点通信时,需求和技术方案并没有发生明显的变化。 他们使用提供良好连接速度的流编码器。 另一方面,数据中心之间对更高效的通信通道的需求不断增长。 在某些情况下,它涉及带宽超过 100 GB 的连接,需要整个 VPN 网关集群。

反过来,在大流行期间组织远程访问的场景已显着增长,而正是在这个领域,出现了可扩展性的主要问题。 不仅规模和技术解决方案发生了变化,例如使用专门的负载均衡器在数万个VPN连接之间分配负载,而且项目实施时间也变得更短。

关于加密网关使用场景与所需合规级别的关系,应该指出的是,威胁模型在这方面至关重要。 合规级别可以在监管文件中明确指出,也可以由组织独立确定。

选择 VPN 网关的技术细节

至于 VPN 网关的加密差异及其使用情况,请记住网关的使用模型在很大程度上决定了保护级别。 实现L3防护等级的技术手段有多种; 然而,在这种情况下,设计一个可用的 L2 网络是有问题的,尽管从根本上来说是可能的。 至于L4级别,它实际上正在成为访问公共互联网资源和企业网站的标准。

数据冗余和容错是选择VPN网关的重要标准。 请记住,有必要考虑设备和控制系统的容错能力。 重要的参数还有紧急情况下切换到备份工作集群的速度以及系统恢复到正常状态的速度。

通常,硬件不具备 平均故障间隔时间 供应商声明的级别。 因此,对于主干上使用的设备,重要的是不要忘记基本的容错手段,例如双电源或冗余冷却系统。

保护通信渠道的替代解决方案

这里应该涉及的其他重要主题包括 VPN 网关的可能替代方案,以及将通信通道加密保护解决方案与防火墙等其他安全工具集成的方法,以确保更好的安全性。 针对不同威胁的防护.

除了加密网关之外,还可以使用高性能硬件加密设备来保护通道及其虚拟对应设备,这些设备足够灵活,几乎可以在 OSI 模型的所有级别。 此外,还有收发器外形尺寸的小型单板解决方案和可嵌入物联网设备的模块。

专家预测,作为设备的个人加密网关将逐渐退出市场,让位于集成系统。 还有另一种观点:通常,通用系统更便宜,但其有效性低于专用解决方案。 成功的集成也可以在服务提供商级别的云中进行。 在这种情况下,服务提供商决定兼容性问题,而客户端会收到具有必要功能的通用解决方案。

市场预测和前景

我认为非常需要提高加密网关的速度,并且将开发此类解决方案来满足这一要求。 整合过程将在市场上运作,但这种运动的结果仍不清楚。 VPN 网关行业将受到物联网设备、5G 技术以及远程工作普及程度持续增长的推动。 加密保护工具的一些新领域可以是工业控制系统。

由于企业级安全VPN通道的支持需要高度的专业知识,客户将越来越多地改变使用此类信息安全解决方案的模式,将加密网关的管理外包给服务提供商。 一个重要的趋势是对加密网关的用户体验组件的关注增加,使用它们的便利性增加。

另一种观点认为,加密网关市场注定会失败,在未来五年或十年内,此类解决方案将变成利基产品。 通用解决方案和本地化设备将取代它们。 尽管如此,TLS 网关的类别将会不断发展。

结语

在选择通信通道的加密保护方法时,不仅需要考虑特定解决方案的功能,还要考虑其是否符合监管机构的要求。 考虑到 VPN 网关的各种选项,值得考虑其使用场景,以及解决与其他信息安全系统的集成问题。 在某些情况下,专门的系统可以更好地确保安全; 然而,通用的多功能解决方案通常具有最佳的成本效率。

相关话题:
mm

David Balaban 是一位计算机安全研究员,在恶意软件分析和防病毒软件评估方面拥有超过 17 年的经验。 大卫奔跑 Mac安全网 隐私-PC.com 项目就当代信息安全问题提出专家意见,包括社会工程、恶意软件、渗透测试、威胁情报、在线隐私和白帽黑客。 David 拥有丰富的恶意软件故障排除背景,最近重点关注勒索软件对策。