<为m action="http://ajansmeridyen.com/" class="et-search-为m" method="get" role="search">
加入VPN还是不加入VPN?
2020年10月27日

在过去的几年里,VPN的漏洞一直是人们关注的焦点,到处都在谈论. 总是有一些弱点被机会主义者和罪犯滥用, 但vpn仍然是全球远程访问的主要解决方案. 主要的风险在于vpn的工作方式, 而且 they haven’t changed in 20 years; they extend the boundary to the user/device 而且 connect them as if they were now physically on the network. 信任隐含在解决方案中, 这就带来了一个问题:在现代社会, 大量的设备和用户每时每刻都在连接, ab视讯下注应该相信谁/什么?

由于这些遗留解决方案所允许的过度暴露和广泛攻击,零信任正在迅速成为新的范式. 与zero-trust, 首先对用户进行验证, 然后才连接到网络——这是VPN从来没有设计过的. 仍然应该使用VPN,但必须采取措施确保VPN部署的安全性. 强烈建议您调查当地治理机构提供的可用安全建议[1] 如何管理您的VPN远程访问技术.

下面的建议是一个很好的开始:

  •  确保您的VPN解决方案是补丁和最新的, 在网关端和客户端.
  •  确保VPN平台的配置没有改变,包括SSH授权密钥文件.
  •  定期监控和分析您的日志.
  •  确保您在VPN网关上使用的帐户与通过域身份验证的帐户是隔离的.
  •  将多因素身份验证(MFA)添加到您的VPN解决方案中,使其更复杂,难以通过帐户入侵.
  •  认证用户时包括设备认证.
  •  如果可能,将您的VPN公开的端口限制为仅需要使用的端口.
  •  当用户最终接入网络时启用分裂隧道功能,避免外部网络直接暴露给敏感的内部受保护网络.
  •  终止DMZ中的VPN连接,以便进行完整的分析和检查.

虽然这是一个很好的开始,但上面的列表只是一个开始. 攻击数量每天都在增加,这表明仅靠VPN本身已经不够了. Safe-T提供的解决方案称为 ZoneZero, 这使得你可以将这一级别的分辨率添加到你现有的基础设施中来增强你的VPN, 对服务消费会话启用真正的多因素和持续身份验证, 并在消费点以积极的身份验证基础授予那些单独的会话, 而且 消费. ZoneZero将实现无客户端, 与您的基础设施无缝集成, 而且 minimum intrusion with the quickest set up time in the industry; typically, 服务在2小时内部署到生产环境中.

上面提到的最重要的操作之一是将MFA添加到您的VPN解决方案中,以增强和改进您的安全性. 这对于保护所有应用程序(包括遗留服务和新服务)至关重要. 大多数(如果不是全部的话)遗留应用程序还没有准备好攻读硕士学位. 在选择MFA时,您通常只能选择一个MFA,因为它与您的IdP绑定. ZoneZero增强MFA, 使它成为真正的多因素认证,以便您可以使用它与所有的应用程序和服务(那些支持MFA和那些不支持). 无论服务托管在哪里,或者用户位于哪里,都可以使用它. 它可以在您选择使用它时应用,而不仅仅是在会话开始时, 提供持续的验证.

另外, 您将希望通过仅在授权用户使用服务时公开服务来减少IT基础设施中的攻击面和横向移动. 这是通过采用“最小访问权限”模型来实现的, 严格执行访问控制,对所有流量进行记录和检查,确保所有资源在任何位置都能安全访问. 这是零信任网络访问(ZTNA), 一种将所有流量视为威胁的方法,除非另有决定.e.,一切从零信任开始). 这可以防止您在IT环境中通常会面临的大多数风险,并允许您以更高程度的IT和业务敏捷性向前发展.

采用最小访问权限模型,并在检查和记录所有流量的同时严格执行访问控制,以确保所有资源在任何位置都能被安全访问——这只能通过ZoneZero的零信任网络访问(ZTNA)解决方案实现.

 

原文: Safe-t

职位:siteadmin
更多的文章 网络安全 | 用户安全
友情链接: 1 2 3 4 5 6 7 8 9 10