所以最近一直在研究VPN技術。
還有一點我不太明白。
假設我是遠端開發人員,我使用 VPN 存取公司的 svn 伺服器和即時通訊服務。
遠距工作者在本地工作人員看來就像在公司的本地網路上一樣,有什麼意義呢?
如果需要本地網路的服務(例如即時訊息系統),管理員難道不能將所述服務設定為透過路由器並透過網際網路到達遠端工作人員嗎?
遠端工作人員和路由器之間的對話甚至可以進行加密,以防止中間人攻擊。
我目前不明白虛擬網路的需要。
答案1
VPN 有很多用途 - 但你所說的是真的。您可以將這些內容配置為透過網路傳送給遠端工作人員。但:
- 然後你就有了一個暴露在網路上的關鍵服務
- 將其暴露在互聯網上意味著偷渡式腳本小子會嘗試闖入它
- 您可能會將您的商業機密公司資料暴露到互聯網上(我個人見過這樣一個案例,版本控制系統將機密公司代碼洩露到互聯網上,並由於發布的錯誤而被 Google 索引。更新)
- 如果您公開的軟體有漏洞,您就將其發布給全世界
- 很多軟體沒有加密
- 許多內部軟體幾乎沒有身份驗證
除非您有經過深思熟慮的安全計劃,否則將此類服務放在網路上是不負責任且危險的。
要求員工使用 VPN 存取服務實際上可以緩解所有這些問題,並為您帶來一些其他好處(例如,VPN 上的 2FA 身份驗證)。
有一個中間立場,它是應用程式代理(例如Azure 的應用程式代理)將服務暴露給互聯網僅在那之後您已通過身份驗證。這些技術正受到越來越多的關注,因為它們比 VPN 的摩擦力更低。
另外,您是否希望您公司的文件伺服器廣泛暴露在網路上?你的會計資料庫怎麼樣?有很多東西最好隔離到內部網路上。
答案2
我認為馬克·亨德森給了你很好的觀點,但我相信他忘記了最重要的一點。
如果需要本地網路的服務(例如即時訊息系統),管理員難道不能將所述服務設定為透過路由器並透過網際網路到達遠端工作人員嗎?
當然可以,但讓我們面對現實吧,什麼更容易維護且更安全:
- 照顧多種服務(安全漏洞、憑證、來自整個世界的多次登入嘗試),這些服務很可能不如 IPSec/OpenVPN 等完善的 VPN 標準安全?
- 設定 VPN 伺服器並將客戶端配置為一項服務將不會如果沒有適當的重新配置和維護,也將永遠成為子彈教授。
今天您需要 SVN,明天您將需要 SMB 來訪問其他一些公司文檔,後天您可能想要喚醒計算機並通過 RDP 遠端工作。然後還有其他 10 個類似的例子。四個字 - 您的管理員一次完成了所有工作,他實現了:靈活性、可擴展性、安全性和授權。
順便說一下:
遠端工作人員和路由器之間的對話甚至可以加密以防止 MITM 攻擊。
這加密完整性機制從來都不是為了防止 MITM 而設計的。
答案3
VPN 可以從任何地方存取嗎?已經安全了嗎?工作人員不需要重新配置任何有關網路的內容,因為對他們來說,他們看起來像是在同一個 LAN 上(即使他們在其他國家/星球/世界)?您可以在一個地方管理誰做什麼、有多少人有權訪問以及何時訪問?
我不知道哪一個最有用,但 VPN 是一個很棒的工具,如果它還不存在的話,就會被發明出來。