5 популярных альтернативных решений VPN для малого и среднего бизнеса

Дата: 23.09.2020. Автор: Игорь Б. Категории: Главное по информационной безопасности, Статьи по информационной безопасности

В этой статье пойдет речь о 5 популярных альтернативных решениях VPN, которые могут стать полезной находкой для бизнеса. Читатели познакомятся со всеми особенностями инструментов, их положительными и отрицательными сторонами.

VPN, или виртуальная частная сеть, была разработана несколько десятилетий назад, чтобы расширить охват корпоративных сетей передачи данных за их физические пределы. Повсеместное распространение Интернета и его низкая стоимость получения доступа к нему послужили толчком для компаний, которые начали использовать эти преимущества для соединения филиалов, клиентов и поставщиков в единую сеть, без необходимости задействовать дорогостоящие соединения.

Одна большая проблема, которая затрудняла внедрение этого новшества (и затрудняет до сих пор), — это безопасность. В традиционной сетецентрической модели работы риски безопасности возрастают экспоненциально по мере добавления доступа типа VPN. В настоящее время решение этой проблемы было найдено с помощью несетевых альтернатив традиционной модели VPN.

История VPN

Подключение сайтов удаленно к сети компании с помощью Интернета всегда представляло собой значительный риск для безопасности, поскольку данные, передаваемые с одного сайта на другой, проходят по общедоступным ссылкам и могут быть замечены злоумышленниками. Именно поэтому VPN была создана как туннель, по которому информация циркулирует в зашифрованном виде, чтобы ее нельзя было перехватить и использовать посторонним людям.

Пользователи с авторизованным доступом к VPN-туннелю должны иметь средства для шифрования и дешифрования информации, чтобы не мешать или препятствовать поставленным задачам. Хотя VPN создает виртуальный и зашифрованный канал между пользователями и сетью организации, ее недостатком является то, что любое нарушение, которое происходит в этом канале, дает потенциальным злоумышленникам неограниченный доступ ко всем ресурсам, подключенным к сети организации, что в принципе создает большой риск.

Кроме того, организации с большим количеством удаленных пользователей — например, сотрудниками, клиентами или поставщиками — должны управлять доступом через VPN для каждого из них, что означает высокие затраты на техническое обслуживание. Сценарий становится еще более сложным, когда в сеть будут введены относительно новые устройства, такие как мобильные устройства или IoT. В этот момент VPN перестает быть решением и начинает становиться серьезной проблемой.

Сети «с нулевым доверием»

В сетевой модели с нулевым доверием основной принцип заключается в том, что никому не доверяют.

Доступ всех пользователей к сетевым ресурсам ограничен, независимо от того, обращались ли они ранее к одному и тому же ресурсу или нет. Любой пользователь или устройство, пытающиеся получить доступ к ресурсу в сети с нулевым доверием, должны пройти строгую (хотя и быструю) проверку подлинности, даже если пользователь или устройство физически находятся на территории организации.

Модель нулевого доверия может добавить некоторую сложность к осуществлению всей деятельности. Разрешения должны постоянно обновляться и быть точно описаны. Это требует больше работы в этом смысле, но то, что человек получает взамен, — это полный контроль над доступом к ресурсам и уменьшение областей, уязвимых для атаки.  

Кроме того, другие преимущества современных альтернатив VPN, таких как сети с нулевым доверием, включают в себя накопленный пользовательский опыт для удаленных пользователей, о чем свидетельствуют более качественные видеоконференции и приложения. В то же время управление доступом к конкретным ресурсам снижает риск боковых перемещений и, следовательно, потенциального распространения программ-вымогателей.

На данный момент никаких стандартов нет

Хотя существует несколько инициатив по определению протоколов, процедур и технологий для архитектур с нулевым доверием, общепринятых отраслевых стандартов пока нет. Тем не менее, несколько сетевых решений с нулевым доверием становятся популярными в этом новом сегменте, поэтому они вполне могут быть теми, кто в итоге будет устанавливать стандарты.

Настала пора взглянуть на них.

1.     Twingate

Предлагаемый в качестве облачного сервиса Twingate позволяет ИТ-командам настраивать программно-определяемый периметр для своих ресурсов без необходимости вносить какие-либо изменения в инфраструктуру и централизованно управлять доступом пользователей к внутренним приложениям как локально, так и в облачных средах.

Twingate значительно снижает подверженность организации кибератакам, делая внутреннюю сеть полностью невидимой для Интернета. Контроль доступа на уровне ресурсов не позволяет хакерам получить доступ ко всей сети, даже если им удается скомпрометировать отдельных пользователей или ресурсы.

Решение Twingate требует минимального технического обслуживания и способно масштабировать от 10 до 10 000 ресурсов. Управление доступом к ресурсам осуществляется с центральной веб-консоли управления, называемой контроллером Twin gate. Чтобы аутентифицировать пользователей и гарантировать, что каждое требование к ресурсам исходит от авторизованного пользователя, Twingate интегрируется с ведущими поставщиками единого входа.

Отличительной особенностью Twingate является раздельное туннелирование, которое позволяет трафику проходить через сеть организации только при необходимости. Это уменьшает задержку в таких приложениях, как видеоконференции, где стороны могут быть непосредственно связаны.

Плата за услуги Twin gate взимается с каждого пользователя за месяц и варьируется в зависимости от количества людей. Есть бесплатный режим, поддерживающий общение до 2 пользователей, двух устройств на пользователя и одну удаленную сеть.

2.     Cloudflare for Teams

Построенный на собственной глобальной инфраструктуре сервис Cloudflare for Teams обеспечивает безопасный доступ к устройствам, сетям и приложениям организации, заменяя традиционные сетецентрические периметры безопасности и делая Интернет более быстрым и безопасным для рабочих групп, распределенных по всему миру.

Cloudflare предлагает доступ с нулевым доверием ко всем приложениям в организации, аутентифицируя пользователей через свою собственную глобальную сеть. Таким образом, он позволяет легко подключать сторонних пользователей и вести журнал записей для каждого события и для каждого запроса доступа к ресурсу.

Решение Cloudflare for Teams построено на основе двух взаимодополняющих продуктов: Cloudflare Access и Cloudflare Gateway.

Первый выполняет функцию, аналогичную функции VPN: предоставляет пользователям доступ к необходимым им ресурсам, избегая киберугроз. А второй – это брандмауэр, который защищает пользователей от заражения вредоносными программами, поддерживая политику организации каждый раз, когда люди подключаются к Интернету.

И доступ, и шлюз построены поверх сети Cloudflare. Это означает, что они способны обеспечить высокую скорость, надежность и масштабируемость даже для самых крупных организаций. Сеть устойчива к DDoS-атакам и находится в миллисекундах от того места, где обитают пользователи.

Тарифные планы Cloudflare for Teams делятся на бесплатные, стандартные и корпоративные.

Бесплатная версия предлагает необходимые инструменты для защиты до 50 пользователей и приложений. Если количество пользователей превышает 50, необходимо перейти на стандартную версию за плату в размере $7 за пользователя в месяц, а также если требуются корпоративные возможности, такие как поддержка телефонов и чата, аутентификация на основе сертификатов, нужно воспользоваться корпоративным тарифом. Стоимость последнего варьируется.

3.     Zscaler Private Access

Компания Zscaler предлагает облачную сетевую службу с нулевым доверием, называемую Zscaler Private Access, или ZPA, которая контролирует доступ к частным приложениям, независимо от того, работают ли они в общедоступных облаках или в собственном центре обработки данных. ZPA гарантирует, что приложения никогда не будут доступны в Интернете, что делает их полностью невидимыми для неавторизованных пользователей.

Служба ZPA соединяет приложения с пользователями с помощью подхода «inside-out», а не путем расширения границ сети для добавления пользователей. Пользователи никогда не находятся внутри сети, что сводит к минимуму риски бокового перемещения или распространения программ-вымогателей. Эта стратегия доступа к сети с нулевым доверием поддерживает как управляемые, так и неуправляемые устройства, а также любые частные приложения, а не только веб-приложения.

Благодаря созданию микро-туннелей ZPA предоставляет сетевым администраторам возможность сегментировать приложения без необходимости использовать классическую сегментацию сети или искусственно осуществить это, управляя уровнями доступа или политиками брандмауэра. Использование туннелей с шифрованием TLS и персонализированными закрытыми ключами (PKI) обеспечивает дополнительный уровень безопасности для доступа к корпоративным приложениям.

Zscaler также делает упор на поддержку пользователей, чтобы они могли работать из любого места, не теряя своей продуктивности.

4.     TeamViewer

Решение TeamViewer предлагает удаленный доступ к устройствам в качестве альтернативы VPN. Это имеет преимущества с точки зрения скорости, безопасности, функциональности и стоимости. TeamViewer — это популярное решение для получения удаленного доступа, имеющее более 2 миллиардов подключенных устройств и 200 миллионов активных пользователей.

Подключение к удаленному устройству через TeamViewer увеличивает скорость соединения, отправляя только ту информацию, которая необходима для обеспечения интерактивности по сети, что уменьшает объем передаваемой информации. В свою очередь, информационная безопасность обеспечивается сквозным шифрованием данных в сочетании с дополнительными мерами безопасности, такими как двухфакторная аутентификация.

С помощью TeamViewer удаленные устройства могут использоваться несколькими пользователями одновременно. Кроме того, решение предлагает дополнительные функциональные возможности, такие как общий доступ к файлам или экранам и запись сеансов.

Затраты на настройку и обслуживание VPN оцениваются в несколько раз выше, чем затраты на решения удаленного доступа, которые не требуют сложных процедур установки и настройки. Для тех, кто заинтересован в использовании TeamViewer в частном порядке, существует бесплатная версия, с помощью которой человек может предоставить друзьям или семье удаленный доступ к своему компьютеру или устройству. Это решение включает в себя возможность обмена файлами и экраном и поддержания связи с помощью аудио, видео или чата.

5.     Perimeter 81

Perimeter 81 позволяет легко создавать, управлять и защищать пользовательские и мультирегиональные сети, которые соединяются с локальными или облачными средами организации. Защищенная сеть Perimeter 81 с нулевым доверием как услуга использует программно-определяемую архитектуру периметра, которая обеспечивает большую видимость сети, гибкость для подключения новых пользователей и совместимость с ведущими поставщиками облачной инфраструктуры.

Сегментация сети, определяемая доверенными зонами, позволяет организации создавать внутренние границы доверия, которые детализируют поток трафика данных. Доверенные зоны состоят из наборов элементов инфраструктуры, в которых ресурсы работают на одном уровне доверия и предлагают схожие функциональные возможности, минимизируя количество путей связи и последовательно ограничивая угрозы.

С доступом к сети нулевого доверия Perimeter 81 можно иметь полное и централизованное представление о сети организации, обеспечивая доступ с наименьшими привилегиями ко всем ценным корпоративным ресурсам. Его функции безопасности придерживаются той же модели и относятся к конвергенции безопасности и сетевого управления на одной платформе.  

Автор переведенной статьи: Lakshman Sharma.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *