大流行加快了发展更好的服务和安全的远程员工的方法,让它重新审视vpn的好时机。
最近vpn收到技术提升的协议选项时提高功能远远领先于他们的第一个发明。与此同时,新的安全架构零信任网络访问(ZTNA),安全访问服务优势(SASE),安全服务优势(SSE)正在打入了远程访问vpn的域。
vpn vs ZTNA
ZTNA的主要论点是,你需要对每个用户进行身份验证和设备,希望网络访问。而不是给予广大特权访问的,你是小气的你格兰特当给谁什么。这是因为零信任假定威胁可能来自内部和外部的企业网络。虽然有些企业离弃IPsec vpn完全为更全面的ZTNA-based网络,他们仍需要其他类型的保护、加密等员工的智能手机旅行时被跟踪和攻击。
Cloudflare有一个很好的解释ZTNA之间的区别和vpn,专注于三个特点:
- OSl层:IPsec vpn工作在第三层,网络层,通过扩展上交所和SASE-operates ZTNA-and主要在四到七层通过网关和使用web协议如TLS。这意味着ZTNA提供更全面的保护,特别是当涉及到保护特定应用程序和设备。但第三层保护有用阻止更广泛的恶意软件运动和为特定类型的用户细分您的网络。
- 本地硬件和软件:大多数企业vpn要求自己的本地服务器端点连接到每个端点设备上通过客户端软件。这意味着服务器可以是一个单点故障,和通常意味着交通云资源必须通过公司2020欧洲杯预赛,服务器,增加延迟。ZNTA轻足迹,通常是使用基于云计算的资源和实现可以有或没有特定端点的软件代理。当他们使用代理,他们可以添加到端点的CPU负载。
- 细粒度的控制:大部分vpn是针对保护整个网络提供一个受保护的隧道通过远程机器可以访问网络。在理论上听起来不错但实际上是不好的因为一个受感染的端点,收益可以作为出发点的访问对整个网络的恶意软件攻击。ZTNA可以更精确的通过限制网络访问和应用程序访问,因此可以执行细粒度策略允许访问特定用户在特定的时间特定的设备为一个特定的应用程序。这种适应性和更灵活的安全是一个很大的好处在处理非托管时,BYOD-type设备,或物联网设备没有任何客户端软件以保安全。ZTNA也可以用来统一各种安全管理工具。例如,帕洛阿尔托网络的棱镜使用ZTNA结合它的防火墙,访问云访问安全经纪人和SD-WAN工具
尽管有这些差异,在有些情况下,vpn和ZTNA可以共存。例如,可以使用VPN当连接远程办公或当用户需要连接到本地文件服务器。vpn保证仔细看看现在有两个原因。首先,vpn和ZTNA可以互为补充,并提供一个更全面的安全信封,尤其是大量的工人仍在偏远地区。
但更重要的是,VPN协议环境大大提高了在过去的15到20年。IPsec很大程度上取代了版本2的网络密钥交换(IKEv2),隧道协议,支持Windows, macOS和iOS。它还包括网络地址横向(NAT),为移动设备提供更快的隧道重新连接移动,使用AES和河豚更好的加密和基于证书的身份验证,以防止中间人攻击。等许多企业VPN IKEv2还支持思科的SSL AnyConnect和杜松的VPN产品。
但也有两个最近的VPN协议Wireguard和OpenVPN。都有少数部分开源的其他服务包括服务器网络,终端客户,和实际的协议。
OpenVPN
的OpenVPN项目已经被消费级采用VPN提供商包括Windscribe、热点盾牌,NordVPN, ExpressVPN,支持Windows, MacOS, iOS、Android,和Linux客户端。有溢出效益对于企业用户来说,因为是开源,有更多关注和它的各种实现的代码。
项目开发了所谓OpenVPN云,不再需要一个现场VPN服务器,因为您可以连接到它作为托管服务。自由层允许您建立三个并发连接,和月度计划从7.50美元每月至少10个连接端点连接。下降到只有几美元一个月50多个连接。OpenVPN服务器软件也可以用到配置以相似的价格。除了VPN,项目还提供CyberShield,加密DNS流量的服务,这有助于防止DoS和中间人攻击。
OpenVPN运行在TCP和UDP端口,增加其灵活性。这意味着连接时可以更有弹性通过OpenVPN国家著名演员试图阻止远程访问端口。OpenVPN的一个问题是,大多数的本地服务器是在北半球,所以用户从其他地方连接将经历更长的延迟。消费级供应商如ExpressVPN和NordVPN有着更大的全球足迹。
WireGuard
WireGuard也是一个开源项目,和IKEv2一样,它是专为快速重新连接,提高了可靠性。OpenVPN一样,它有一个完整的服务,包括Windows、MacOS, iOS、Android和Linux客户机,它是由消费级VPN提供商包括Mullvad ProtonVPN, Surfshark NordVPN,私人互联网接入。它的支持者声称,因为它的精简架构,它可以超越其他VPN协议,可以轻松实现容器集合。它是免费的,并且任何UDP端口上运行。其作者发表了非常明确的说明其安全限制包括缺乏交通混乱和协议仍然是一项正在进行中的工作。
与WireGuard或者OpenVPN,企业有更多的权力和灵活性在评估他们的远程协议收集。你可能来的安全但保持因为效用。例如,您可以使用托管OpenVPN云快速规模上下你的远程访问需求,这是接近ZTNA-based解决方案操作的方式。
OpenVPN和WireGuard企业
鉴于OpenVPN和WireGuard消费级采用VPN提供商,为什么企业要注意他们吗?首先,其较低的开销可以减少延迟和提高可用性。第二,因为他们演示使用开源代码的好处和第三方安全审计等方法来验证它们的价值,隐私和其他特性。企业VPN供应商可以采用这些策略竞争原因来改善自己的产品。
这是否意味着企业应该放弃SSE SASE ?不客气。企业有各种各样的远程访问需要跨广泛的应用,带宽需求和终端用户设备。应用程序是运行在所有类型的基础设施:私有云、公共云,容器和本地设备。一个典型的业务使用多个身份提供者,身份验证工具和网络配置。再加上混合的能力SASE和SSE孤立浏览会话或设置云访问安全代理为了进一步获得这些资源。
的日子一去不复返了所有远程用户连接通过一个网关服务器的机架位于数据中心,但最新的VPN协议可以补充勇敢加利福尼亚州零信任的世界,太。2020欧洲杯预赛