选择、部署和配置 VPN 技术以供组织使用
虚拟专用网络 (VPN) 允许组织在物理上分开的位置的设备之间提供安全连接。帮助管理员为其组织选择、部署和配置VPN。个人通常出于不同原因使用 VPN,不在本次讨论范围涵盖。
为什么要使用 VPN?
VPN 是加密的网络连接。这些允许远程用户安全地访问组织的服务。VPN 是在不受信任的网络上保证“传输中的数据”安全的一种方式,但它们还提供了其他一些好处。
例如,在多个地点设有办事处的组织可以使用 VPN 为其远程用户提供访问公司电子邮件和文件服务的权限。
VPN 的其他优势
使遗留系统能够远程工作 |
即使不是为此类场景设计。例如,SMB 文件服务器 |
针对错误配置、未打补丁或设计不当的内部服务提供第二层防御 |
例如,维护不善的内网网站,或使用传统加密技术 |
保护内部网络服务器免受未经身份验证的外部攻击者的攻击 |
通过限制对经过身份验证的设备的网络访问。例如,文件存储或数据库 |
保护用户设备免受网络攻击 |
通过阻止进出本地网络的直接连接。例如,ARP欺骗攻击,或攻击移动设备上的开放网络接口 |
通过内部保护性监控工具强制设备和外部服务之间的流量 |
可以防止各种威胁。例如,检查Web内容是否有恶意代码 |
启用业务监控和/或过滤用户的网络流量 |
出于法律原因、纪律和注意义务。例如,阻止访问非法网站 |
VPN 使用前的准备
你需要VPN吗?
是否需要 VPN 取决于使用的网络架构。例如,如果完全采用零信任的网络方法,那么使用 VPN 几乎没有什么好处。
此外,如果上述 VPN 的所有优势都不适用,则无需使用。即使其中一些原因适用,也可能有其他方法来解决基本问题。防火墙外的设备可能不需要传统服务,或者如果需要,可以在设备上阻止对非法网站的访问。
VPN 设置复杂,需要维护,而且 VPN 故障很容易导致整个组织的中断。
如果使用围墙花园架构或其他需要最终用户流量穿越不受信任的网络和外部防火墙的架构,那么应该考虑使用 VPN。但是,VPN 有许多方面需要考虑。接下来将讨论这些问题。
协议
最广泛用于 VPN 的协议是传输层安全 (TLS) 和互联网协议安全 (IPsec)。还有很多其他的,其中一些( 例如PPTP)由于安全问题已不再使用。其他协议(例如 Wireguard) 越来越受欢迎并且看起来很有希望,但尚未在企业环境中得到证实。
建议是使用 IPsec 进行 VPN 访问。IPsec 是一个开放标准,意味着任何人都可以构建与其他 IPsec 实现一起工作的客户端或服务器。
由于 IPsec VPN 客户端内置于许多操作系统中,因此部署 VPN 不需要额外的产品。但是,某些第三方网络会限制或阻止 IPsec 流量,因此移动设备在某些情况下可能无法创建 VPN 连接。
也可以使用 TLS VPN,但可能需要使用第三方客户端和服务器。此外,来自不同供应商的产品很少会互操作,因此需要同时使用来自同一供应商的产品。虽然 TLS 已在各种RFC 中标准化, 但这些协议用于创建 VPN 的确切方式却并非如此。但是,TLS VPN 连接在穿越网络地址转换 (NAT) 设备或企业防火墙时会更加可靠。
从安全角度来看,在所有其他条件相同的情况下,使用 IPsec 和 TLS VPN 之间的风险差异很小。
密码学
使用 VPN 时,建议使用客户端证书进行机器身份验证。与预共享密钥 (PSK) 相比,证书具有多项优势,包括能够仅撤销网络上的一个证书以及安全地存储私钥(例如,在 TPM 或 TEE 中),强烈建议在可能的情况下这样做。
由于操作系统上的内置 VPN 客户端并不总是完全支持这些推荐的配置。每个平台的设备指南存在不同的建议。
通过使用比下面推荐的配置文件或算法更弱的配置文件或算法,将增加在通过不受信任的网络传输时数据泄露的风险。
集成与第三方 VPN 客户端
大多数操作系统都有可用的内置 VPN 客户端,可以在设备上配置或远程管理。集成客户端通常可以免费使用、可靠地工作并自动更新,但在功能上也可能相对有限。例如,通常无法配置路由规则、例外或拆分隧道。
建议尽可能使用本机客户端特定指南提供了配置详细信息。但是,存在一系列商用第三方 VPN 客户端。
使用第三方 VPN 客户端会增加操作系统集成不佳的风险,因此,一些数据可能会被发送到 VPN 之外。增加需要保持最新的软件包数量,增加了使用某些过时软件的可能性。
强制 vs 可选
只有通过VPN路由的流量才会受到它的保护,因此希望强制所有流量都通过 VPN路由,并且没有用户流量传输到该连接之外。需要VPN客户端本身来强制执行此操作,或者需要配置客户端防火墙以防止在VPN外部建立连接。如果强制VPN无法连接,则除非禁用VPN,否则将无法来自设备的网络流量。
通常建议强制流量通过 VPN,并且在可能的情况下,每个平台提供实现此目的的方法。在无法强制流量的情况下,意味着数据存在风险。但是,强制连接有时会导致与公共Wi-Fi网络上的强制门户不兼容,除非平台提供了对其进行身份验证的解决方案。
使用可选的VPN允许用户禁用VPN并逃避保护性监控和审计服务。移动设备通过网络受到攻击的风险,以及用户规避公司政策限制的风险。
启动 VPN 连接
为了提供好处,VPN必须建立连接,在设备使用时保持连接,并在连接暂时丢失时重新连接。通常,有三种实现此行为的方式:自动、触发和手动。
-
每当设备上的软件请求网络连接时,设备就会启动自动VPN。
-
每当建立来自定义列表的某些网络连接(例如内部Intranet站点)时,就会启动触发VPN。
-
手动VPN要求设备用户通过明确决定采取行动(例如启动应用程序并单击连接)来启动VPN。如果在使用期间或之后连接断开,用户可能需要再次执行此步骤。
区分自动与强制
区分自动和强制,在某些平台上,用户可以禁用自动VPN,而平台仍然强制执行VPN路由。有效地阻止了来自设备的网络连接,直到用户重新启用自动连接。
根据VPN是强制的还是可选的,在自动、触发和手动之间进行选择可能是可用性决定而不是安全性。
如果VPN是强制的,但启动是手动的,这将是一个糟糕的用户体验,因为在用户手动启动VPN之前,设备将没有任何连接。相反,如果VPN是可选的,并且启动是手动的,则在设备未连接期间,不受信任的网络上的本地攻击者可能会受到损害。
使用自动 VPN,并且在可能的情况下,每个平台指南概述了实现此目的的方法。
完整设备与每应用VPN
某些操作系统和许多第三方应用程序只允许将某些应用程序配置为在设备上使用VPN。在自带设备 (BYOD) 方案中非常有用,在这种情况下,企业不希望来自个人应用程序的网络流量遍历公司网络。此方法可用于防止恶意个人应用程序攻击公司网络,或限制数据密集型个人应用程序的带宽消耗。每个应用程序VPN还支持延迟敏感的应用程序(例如 VoIP 应用程序),以避免来自 VPN 的网络延迟增加。
如果采用这种方式进行部署,则需要提前定义所有希望受到 VPN 保护的应用程序。由于这通常用于BYOD场景,因此用户始终可以下载另一个应用程序来解决每个应用程序的VPN限制。在某些情况下,可能无法强制系统应用程序使用每个应用程序的VPN。
每个平台指南建议并提供配置以设置全设备VPN。使用每应用VPN会增加敏感数据可能被未包含在每应用 VPN 中的应用程序或平台中的错误配置发送到 VPN 之外的风险。
分裂隧道
与应用程序VPN一样,拆分隧道是一种让某些流量使用VPN的方式,而其他流量则允许直接连接。通常是通过仅将某些网络路由(例如内部 IP 地址范围)定义为可通过 VPN 使用来实现的。然后将所有其他流量的默认网关保留为直接连接。
通常在VPN提供对公司网络上的内部服务的访问时使用,而不尝试阻止其他连接。例如,可以允许高带宽应用程序直接访问互联网,而无需通过企业基础设施进行路由,以节省带宽成本。而且,与按应用程序 VPN 一样,对延迟敏感的应用程序(例如 VoIP 客户端)可以通过直接连接来最大程度地减少网络延迟。
VPN 客户端通常不支持拆分隧道,这些客户端通常具有相对简单的配置选项。Windows 操作系统可以配置为使用自定义路由规则拆分隧道,但内置于智能手机和平板电脑的客户端很少支持这种配置。第三方客户端有时能够支持此选项。
启用拆分隧道会增加敏感数据暴露给未受保护的网络的风险,并可能使外部攻击者能够通过“旋转”设备访问内部资源。在出于保护性监控 或注意义务的原因而依赖VPN路由流量的情况下 ,启用拆分隧道将破坏从这些保护中获得的好处。
托管隧道
如果在VPN之外访问特定服务,可以通过使用托管隧道来实现。涉及在配置的VPN之外发送到该特定端点的流量。这样做的合理原因包括减少由视频会议服务引起的网络负载,或者应用程序的功能需要它直接在网络上进行通信,例如 Wi-Fi 强制门户助手。
建议在将连接到隧道外部的服务提供商提供的情况下使用托管隧道:
-
证明与服务的连接受到VPN保护的信息(例如,使用双向TLS身份验证)。
-
明确声明服务使用专用IP端点,因此只有到该特定服务的流量才能通过 VPN 之外。
以及在业务需要用户访问VPN之外的服务的情况下,即高带宽服务,例如用于视频会议的服务。建议使用这种方法来启用Wi-Fi强制门户助手功能
强制门户
强制门户是一些公共 Wi-Fi 网络上的登录页面。要使用强制门户,设备需要在建立 VPN 连接之前建立从 Web 浏览器到门户的直接连接。为此,必须配置两件事之一:
用户可以禁用任何强制 VPN 配置 |
这允许用户在其主 Web 浏览器中手动导航到门户 |
平台本身可以检测强制门户的存在 |
在重新建立 VPN 之前,用户会看到一个强制门户助手应用程序进行身份验证。某些平台(例如 iOS 和 macOS)内置了此类应用程序。助手可作为适用于某些其他平台(例如 Windows 10)的第三方应用程序使用。 |
使用强制门户助手应用程序风险较小,如果要使用强制Wi-Fi网络,则应首选。
更广泛的考虑
有些问题与 VPN 的配置没有直接关系,但会受到选择的技术和配置的影响。
客户端和服务器安全更新
与所有软件一样,客户端和服务器组件都需要定期更新。在客户端集成到操作系统的设备上,这些更新自然会作为定期平台更新的结果发生。第三方软件需要以其他方式更新。
VPN 服务将成为组织的 Internet 暴露攻击面的一部分,因此需要在安全补丁发布后立即更新
使用 VPN 绑定到设备
网络共享或移动热点涉及将外部设备连接到智能手机以使用智能手机的互联网连接。
但是,全设备VPN通常会对网络共享在底层平台上的工作方式产生影响。一些平台会在智能手机的 VPN 连接之外路由系留设备的连接,而如果连接了全设备 VPN,一些智能手机将不会路由系留流量。如果用户依赖网络共享,则应选择适当的配置来启用它。
如何使用 VPN
有两个组件需要决定:客户端和服务器。
可能希望为两个组件使用相同的供应商,或者采用开放标准并使用不同的供应商。无论如何,应该考虑上述 VPN 配置的各个方面。
NCSC 建议:
-
使用IPsec协议,可以灵活地从各种可互操作的产品中进行选择。
-
使用证书认证。如果可能,将私钥存储在受硬件保护的存储(TPM 或 TEE)中。
-
如果可能,为特定平台使用本机客户端。
-
使用强制 VPN来确保应用程序无法逃避企业监控解决方案。
-
使用自动连接的 VPN ,因此设备用户无需手动启用它。
-
使用全设备VPN并避免拆分隧道,以最大限度地降低数据泄露到 VPN 外的风险。
-
使用平台内置的强制门户助手,或者部署第三方。
-
根据需要遵循 IPsec或TLS加密配置文件。
建议测试多个VPN,以找出满足要求、稳健且有弹性的VPN。如果VPN服务中断,按照此处建议配置的设备将在很大程度上无法使用。如果服务中的组件出现故障,那么架构具有弹性并具有备份选项尤为重要。
上云千万条,安全第一条。在企业上云这一不可阻挡的数字化转型趋势下,把数据这一关键生产要素放在云上,让传统企业管理者心怀忐忑,包括数据泄露、数据丢失以及隐私数据利用等在内的数据安全威胁,已成为当前上云企业不容忽视的攻防挑战。 企业上云不仅要应对传统…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论