VPN 安全管理与挑战

虚拟专用网络（VPN）允许用户通过互联网建立安全连接到另一个网络。VPN概念通常是指将运行VPN客户端软件的端点连接到VPN服务器（连接到安全网络）。

对于企业而言，VPN最初很流行，它可为旅途中或偶尔在家办公的用户提供对企业资源的安全访问。对于大多数企业而言，通常只有小部分员工会出差或远程工作，因此企业并没有做好准备应对COVID-19疫情带来的变化。其结果是，在疫情期间，很多企业绕过正常的渠道和最佳做法，建立了安全性较差的系统，例如对Linux或Windows服务器部署直接VPN访问或使用消费级设备来承担负载。

VPN端点安全、身份验证和授权

VPN专注于启用连接，而最初的概念并不提供端点安全性或用户身份验证。只要正确设置端到端隧道协议，就可以建立连接。尽管这对于单个用户来已经足够，但是大多数企业要求设备满足现场环境中相同级别的要求。他们还要求在这些设备上对用户进行身份验证。

端点保护平台以及端点检测和响应系统在此级别的访问中发挥了作用。这些系统使用户设备免受恶意软件和病毒的侵害，甚至可以确保连接到企业的系统达到最低软件更新标准。这对于长时间在家里或其他不安全的地方工作的用户而言尤其重要。

大多数主要的下一代防火墙（NGFW）系统和安全平台都将VPN服务器功能与这种类型的访问控制集成，甚至可添加多因素身份验证（MFA）用于客户端身份验证和访问。

VPN服务器安全

Windows和Linux平台可以支持VPN服务，但是在大多数公司环境中不建议这样做。典型的系统管理员没有准备好应对直接将服务器暴露给外界带来的安全问题。然而，即使系统管理员已做好相应准备，也应注意限制对VPN功能的使用并限制对服务器管理的访问。

为了获得更好的安全性，大多数主要的NGFW供应商支持企业级VPN服务，甚至某些较新的软件定义的WAN和安全访问服务边缘产品都支持企业级VPN服务。对于这些类型的系统，VPN服务器功能被嵌入到强化的安全设备或系统中。

部署并记录VPN安全策略

当企业拥有各种各样的系统时，很难制定一致的访问和安全策略。企业应先确保VPN系统遵循通用标准，再定义和实施策略，这样做会更容易。

更先进的NGFW系统使用户配置文件可以关联安全组标记（SGT），安全组标记提供唯一标签，其中描述用户在网络中被允许的特权。SGT术语来自思科，但是这种抽象级别在很多技术供应商中都可行，甚至可以使用思科的Platform Exchange Grid（现在是Internet工程任务组标准RFC 8600）以多供应商的方式工作。这个概念很重要，因为可以将策略应用于组，并且可以将用户分配给组，从而可以增加策略控制层。

VPN安全挑战

在遵循保护VPN的最佳做法时，同样重要的是要了解相关的挑战。

隧道分离。隧道分离是指远程路由器或端点连接到多个网络服务的功能。实际上，隧道分离通常是指对某些服务提供直接互联网访问，而为其他企业流量提供VPN隧道连接。一种常见的方法是为SaaS应用程序（例如Microsoft 365）启用直接卸载功能，但要求对所有其他流量使用VPN隧道。

虽然隧道分离很流行，但它也有缺点。SaaS访问是直接的，可以提高性能，但是这也可能成为攻击和数据泄露的对象。安全规划人员还应该意识到，在某些受到严格监管的环境中（例如受美国国防部标准约束的环境），应禁止隧道分离。

超时。企业还必须注意确保空闲会话超时-但这必须与UX（用户体验）保持平衡。启动VPN超时的典型安全建议范围为10到30分钟。当企业可控制端点时，在不活动时间间隔（例如10分钟）后要求屏幕锁定也很重要。

超时还可以包括连接或身份验证超时。对于多因素身份验证，企业应增加这些超时的时间，以允许用户有足够的时间提供附加信息。典型范围是60到90秒。