Для чего используется виртуальная сетевая часть VPN?

Есть много применений VPN - но то, что вы сказали, правда. Вы можете настроить эту штуку, чтобы она шла через интернет к удаленному работнику. Но:

• Тогда у вас есть критически важная услуга, доступная через Интернет.
• Если выложить его в интернет, то это значит, что скрипт-кидди попытаются взломать его.
• Вы потенциально раскрываете конфиденциальные коммерческие данные своей компании в Интернете (я лично наблюдал случай, когда система контроля версий слила конфиденциальный код компании в Интернет и была проиндексирована Google из-за ошибки, обнаруженной в обновлении).
• Если программное обеспечение, которое вы раскрываете, имеет уязвимость, вы делаете ее доступной для всего мира.
• Во многих программах нет шифрования
• Во многих внутренних программах аутентификация практически не применяется

Размещение подобных услуг в Интернете безответственно и опасно, если у вас нет тщательно продуманного плана безопасности.

Требование к сотрудникам использовать VPN для доступа к сервисам практически смягчает все эти проблемы и дает вам некоторые другие бонусы (например, аутентификацию 2FA в VPN).

Есть нечто среднее, представляющее собой прокси-сервер приложения (например,Прокси-сервер приложений Azure), которые предоставляют услуги в Интернететолько послевы прошли аутентификацию. Они набирают популярность, поскольку они менее требовательны, чем VPN.

Кроме того, хотите ли вы, чтобы ваш корпоративный файловый сервер был доступен в Интернете по всему миру? А как насчет вашей бухгалтерской базы данных? Есть много вещей, которые лучше всего хранить отдельно во внутренней сети.

Я думаю, Марк Хендерсон дал вам хорошие советы, но мне кажется, он забыл о самом важном.

Если необходима какая-либо служба локальной сети (например, система обмена мгновенными сообщениями), разве администратор не может просто настроить эту службу так, чтобы она проходила через маршрутизатор и через Интернет, чтобы добраться до удаленного работника?

Конечно, может, но давайте посмотрим правде в глаза: что проще в обслуживании и что безопаснее:

• следить за несколькими службами (уязвимости безопасности, сертификаты, множественные попытки входа из всего мира), которые, скорее всего, менее безопасны, чем хорошо сформированные стандарты VPN, такие как IPSec/OpenVPN?
• настроить VPN-сервер и настроить клиент как одну службу, котораяне будеттакже быть навсегда бесполезным без надлежащей перенастройки и обслуживания.

Сегодня вам нужен SVN, завтра вам понадобится SMB для доступа к каким-то другим документам компании, послезавтра вы захотите разбудить свой компьютер и работать удаленно через RDP. Потом еще 10 подобных примеров. Четыре слова — ваш администратор сделал все сразу, он добился: гибкости, масштабируемости, безопасности и авторизации.

И кстати:

Разговор между удаленным работником и маршрутизатором можно даже зашифровать, чтобы предотвратить атаку MITM.

TheшифрованиеМеханизм целостности никогда не был предназначен для предотвращения MITM.

VPN доступен из любой точки мира? Он уже защищен? Сотрудникам не нужно ничего перенастраивать в сети, потому что для них это выглядит так, как будто они находятся в одной локальной сети (даже если они находятся в другой стране/планете/мире)? Вы можете управлять тем, кто что делает, сколько людей имеют доступ и когда, в одном месте?

Я не знаю, какой из них самый полезный, но VPN — отличный инструмент, который непременно был бы изобретен, если бы его еще не существовало.