Как сделать удалённый доступ защищённым. Альтернативы VPN

Поговорим на такую тему, как защита удалённого доступа. Рассмотрим варианты.
И сразу обозначим, что VPN не самый хороший вариант.

Photo by Elf-Moondance on Pixabay

Подписывайтесь на нас в Facebook, Telegram, Twitter или Instagram, чтобы быть в тренде!

VPN – виртуальные частные сети дали базу для защиты удалённых членов команд, когда большинство из них работали в офисах в традиционном понимании.
Смещение к повсеместно удалённой работе, которое стало глобальным из-за пандемии, значительно повлияло на обстановку в этом вопросе. С периода 2020 года для огромного количества людей стало обычным делом трудиться удалённо на постоянной основе. И если походы в офис и происходят, то редко и в случае особой необходимости.
Применение виртуальных частных сетей в таких масштабах было непредвиденным обстоятельством. И для специалистов ИТ стало настоящей головной болью. Так как решения использовались самые общие – и устройствам и подключениям отдельным юзерам – предоставлялись без должного протокола по безопасности.

Принимая во внимание факт, что удалённая работа уже стала нормой и в будущем это изменится с очень малой вероятностью, бизнесу нужно оценить риски VPN и рассмотреть альтернативы для обеспечения безопасных подключений для своих сотрудников, партнёров, смежных исполнителей и клиентов.

Экскурс

VPN расширяет сеть компании. И если эта сеть небезопасна, вероятность атаки из-за уязвимостей возрастает, так как где есть слепые зоны в защите, там и будет утечка. Это недопустимые риски, которые необходимо исключить. Виртуальные частные сети шифруют трафик данных от одной точки ко второй. И это требует отдельного стека, полностью автономного, проверяющего трафик и, разумеется, безопасного. Такая норма сложна, в связи с тем, что корпоративные ресурсы бизнеса зачастую располагаются в облаке, к которому разрешён доступ для многих удалённых сотрудников.
Отдельно стоит заметить, что такие сети не дают гарантии, что доступ не будут получать третьи лица.

Львиная доля VPN по умолчанию шифрует трафик незамысловатым способом и почти никогда не запрашивает аутентификацию. Если рабочая машина человека будет скомпрометирована в удалённом режиме, в офисе или где угодно ещё – велика вероятность, что злоумышленники будут иметь доступ к сетям корпорации посредством VPN с учёткой доверенного сотрудника. Эти уязвимости известны и специально используются для проникновения. Если компьютер неисправен или заражён вредоносным программным обеспечением, например, ботнетом, бэкдором или трояном – то неизвестный полностью заменяет собой пользователя и получает доступ ко всему, что доверено, ничего не подозревающему гражданину. Относительная безопасность при таких сценариях может быть достигнута при своевременных обновлениях. И даже если ваши устройства пропатчены и у вас самый продвинутый VPN – этого не всегда достаточно. О рисках и последствиях знают многие, кто столкнулся хоть раз с атакой не в познавательной статье, а в реальной жизни.

Также VPN имеет ряд недостатков. И это: скорость подключения, производительность процессов, задержки, аварийные отключения. И это чрезмерно затрудняет рабочие процессы, потому что многие бизнесмены применяют корпоративные виртуальные частные сети.

Вполне достаточно, чтобы рассмотреть альтернативы.

Альтернативы

Доступ Zero Trust, который мы рассматривали недавно в нашем блоге. Этот вариант можно применять в совокупности с VPN, как его неотъемлемое дополнение.
Чтобы принять контрмеры, в случае необходимости.

Так как метод из предыдущего пункта является только частью решения, необходимо дополнить комплекс мер Secure access service edge – SASE. Это облачная модель защиты и она является сетью, которая включает в себя как компоненты безопасности в архитектуре, так и набор инструментов для унификации. Здесь есть повышенная прозрачность процессов и гибкость, которая так нужна в ИТ.

SDP – Session Description Protocol. Сетевой протокол прикладного уровня. Это расширенная версия доступа зеро траст, которая является границей сети, основанная на ПО, а не на железе, в обычном его понимании. Это отличная замена VPN, которая обеспечивает многоуровневую аутентификацию и сегментирует сети. И как вишенка на торте – создание профилей подключаемых сотрудников с набором доступов под конкретные задачи разово или на период. Это снижает риски нанесения ущерба и не мешает производительности, если тревога ложная.

SD-WAN – software-defined wide area network. Программно -определяемая глобальная сеть осуществляет блокировку доступов при подозрительном поведении или нарушении протокола. Здесь упор сделан на ПО и централизованное управление, которое на другом качественном уровне распределяет трафик. А именно: традиционные маршрутизаторы заменяются виртуальными, которые управляются приложениями и дают наложение сети на широкополосные каналы MPLS – multiprotocol label switching.

UEM – Unified endpoint management. Унифицированное управление конечными точками. Это инструмент, при помощи которого обеспечивается работа в удалённом режиме, при котором агент оценивает полномочия, прежде чем предоставить доступ к определённому ресурсу. Это решение может быть интегрировано в ZTNA, так полюбившийся многим. Да-да, это система зеро траст.

VDI или DaaS – виртуализация рабочих мест. Все мощности вычислений исходят из облака или сервера, поэтому ничего в этой системе конечного пользователя не является локальным. Это хороший вариант и тут нужно плюсовать другие продукты по аутентификации как дополнение. Неоспоримым плюсом здесь является то, что данные ни в каких случаях не могут быть скопированы на локального клиента.

IAM – Was ist Identity & Access Management. Проверка правильности входа в систему. И это не только про привычную аутентификацию и идентификацию. Это управление идентификацией. И заключается в том, что сам сеанс, его активность и предоставленные привилегии привязаны адресно к определённому пользователю. Из этого становится очевидным, что администраторы системы уверены на все сто, что доступ пользователя и авторизация подлинны.

Это системы контроля с большей осторожностью.
Смена, обфускация — obfuscare паролей, мониторинг действий – всё это снижает риски несанкционированного доступа к привилегированным учётным данным и сетям.

У нас же вы получите надёжный защищённый хостинг, классный домен и SSL-сертификат для своего бизнеса.