网络安全
企业VPN网关的洞察
VPN网关的作用是什么?这种解决方案的未来会如何?在保护通信渠道时,哪些参数应该被考虑?
许多组织都面临着保护传输数据的迫切需求。远程工作的转变更加剧了这一趋势。什么决定了VPN网关的选择——其功能、价格还是必要的证书?让我们深入探讨这些问题。
如何配置VPN网关
在使用加密网关的实际选项中,视频通信渠道、远程医疗和安全访问官方国家门户的保护最近一直很受欢迎。一般来说,我们可以谈论用户访问特定资源的常见场景。这可以是一个与IDM系统的安全通信渠道,一个云平台,或者是一个单一的入口点,通过该入口点可以路由到其他资源。
从技术上讲,有两种使用加密网关的场景:站点到站点和客户端到站点。站点到站点的场景有两个要求集。第一个是地理分布式网络:例如,十几个分支组成一个共同的VPN网络。第二个选项是两个数据中心之间的安全渠道。
保护企业数据在传输中的任务可以分为基于策略的VPN和基于路由的VPN。后者选项在节点数量增加到几千个设备时变得相关。在保护骨干网络的情况下,通常使用低级别的解决方案和点对点的拓扑结构。
谈到保护高负载渠道时,不能仅仅局限于点对点的架构。点对多点的架构解决方案在世界市场上非常受欢迎。在L2级别保护渠道非常有效,因为只有这种方法可以保证没有延迟。
应该记住,站点到站点的保护可以在软件和硬件级别上实现。在后一种情况下,客户可以根据自己的需求选择实现选项,例如保护渠道的速度特性。
由于远程工作员工人数的增加,客户端到客户端的场景需求也增加了,即直接在用户之间建立VPN连接。这些渠道用于快速通信、视频会议、电话和其他任务。
然而,在实现点对点通信时,需求和技术解决方案没有发生重大变化。它们使用流编码器,可以提供良好的连接速度。另一方面,对于数据中心之间的通信渠道的需求越来越大。在某些情况下,需要带宽超过100 GB的连接,需要整个VPN网关集群。
远程访问的组织场景在疫情期间显示出显著的增长,而在这个领域出现了可扩展性问题。规模和技术解决方案的变化不仅仅是使用专用负载均衡器来分配数万个VPN连接的负载,而且项目实施时间表也变得非常短暂。
关于加密网关使用场景与所需的合规性级别的关系,应注意威胁模型在此问题中具有首要重要性。合规性级别可以在监管文档中明确指出,也可以由组织自行确定。
选择VPN网关的技术细节
关于VPN网关加密的差异以及使用场景,应注意网关使用模型在很大程度上决定了保护级别。有各种技术手段来实现L3保护级别;然而,在这种情况下设计一个工作的L2网络是有问题的,尽管从根本上是可能的。至于L4级别,它实际上已经成为访问公用互联网资源和企业网站的标准。
数据冗余和容错是选择VPN网关的重要标准。记住,必须考虑设备和控制系统的容错性。重要参数也是在紧急情况下切换到备份工作集群的速度和恢复系统到正常状态的速度。
硬件通常不具有供应商声明的平均无故障时间水平。因此,对于用于骨干网络的设备,不要忘记基本的容错手段,例如双电源或冗余冷却系统。
保护通信渠道的替代解决方案
其他重要话题应该在这里提及,即VPN网关的可能替代品,以及将通信渠道的加密保护解决方案与其他安全工具(如防火墙)集成的方法,以确保更好的保护免受各种威胁。
除了加密网关外,还可以使用高性能硬件加密设备来保护渠道,以及它们的虚拟对应物,这些虚拟对应物足够灵活,可以在几乎所有OSI模型级别上工作。此外,还有小型、单板解决方案和可以嵌入到物联网设备中的模块。
专家预测,个别加密网关作为设备将逐渐退出市场,为集成系统让路。还有一个观点:通常,通用系统更便宜,但其有效性低于专用解决方案。集成也可以在云中在服务提供商级别进行。在这种情况下,服务提供商决定兼容性问题,客户获得具有必要功能的通用解决方案。
市场预测和前景
我看到加密网关速度的增加需求,这类解决方案将被开发以满足这一需求。市场将会发生整合过程,但这种运动的结果仍然不清楚。VPN网关行业将由物联网设备、5G技术和远程工作的持续增长所驱动。一些新的加密保护工具的细分市场可以是工业控制系统。
由于在企业级别支持安全的VPN渠道需要很高的专业知识,客户将越来越多地改变使用此类信息安全解决方案的模式,将加密网关的管理外包给服务提供商。一个重要的趋势将是对加密网关的用户体验组件的关注度增加,以及使用它们的便捷性增加。
另一个观点是,加密网关市场已经注定会衰落,在接下来的五到十年内,这样的解决方案将成为一种小众产品。通用解决方案和本地设备将取代它们。然而,加密网关的类别将会演变。
结论
在选择通信渠道的加密保护手段时,必须考虑不仅是特定解决方案的功能,还要考虑其是否符合监管机构的要求。考虑到各种VPN网关选项,值得思考它们使用的场景,以及解决与其他信息安全系统集成的问题。在某些情况下,专用系统可能会更好地确保安全;然而,通用、多功能的解决方案通常具有最好的成本效率。
