Jak organizace stále více hledají podporu a zabezpečení pro větší počet vzdálených síťových připojení, mnohé z nich přehodnocují myšlenku tradičních sítí VPN
Používáte šifrovanou komunikaci?
Existuje mnoho alternativ VPN, které pomáhají zabezpečit vzdálený přístup, a mezi nimi hraje významnou roli i mesh VPN.
Virtuální privátní sítě (VPN, Virtual Private Network) typu mesh využívají architekturu peer-to-peer, která může být teoreticky levnější než tradiční řešení VPN.
Ty klasické (podle odhadů je používá 1,6 miliardy lidí) nemají v architektuře zabezpečení stejnou váhu jako dříve vzhledem k velkým bezpečnostním dírám, slabinám v důsledku nechráněných portů (port shadow) a širokému konsenzu o jejich zranitelnosti vůči kybernetickým útokům.
Globální trh s VPN je však stále masivní a očekává se, že se do roku 2030 téměř ztrojnásobí na 137 miliard dolarů.
Ve starších síťových konfiguracích se VPN používaly pro přístup k síťovým zdrojům, jako jsou například firemní aplikace provozované ve vlastní infrastruktuře a sdílení souborů, jako byste byli v podnikové síti.
V tradičních podnikových sítích jste měli, pokud jste byli uvnitř sítě, automaticky přístup na úrovni sítě k většině toho, co v síti bylo.
Hybridní sítě a tlak na koncepty zero trust vedly odvětví k odklonu od tohoto způsobu uvažování, takže v rámci zabezpečení podniků ztratil koncept síťového perimetru část svého významu.
Pokud tedy provozujete klasickou hvězdicovou architekturu sítí VPN, může u vás přechod na mesh VPN stát za zvážení.
Proč mesh VPN?
Mesh VPN je relativně nový koncept, který rychle nabírá na síle, protože na trh uvádí své služby stále více dodavatelů. Ve své podstatě řeší mesh VPN několik slabin tradičního řešení VPN a zcela zásadně se těsně integruje se současnými architekturami zabezpečení.
- Omezení útočného prostoru
Na rozdíl od sítě VPN s konceptem klient-server fungujícím s hvězdicovou architekturou není na perimetru žádný server VPN, na který by bylo možné útočit.
Tradiční servery VPN lze často snadno identifikovat, protože existuje konečný počet standardů VPN a proprietárních protokolů. Díky tomu je zjištění velmi snadné a útok je pro zločince přirozeným vývojem.
Naopak členské uzly mesh VPN se mohou nacházet za firemním firewallem, v domácí síti nebo na mobilním připojení, za NAT a dalšími technickými komponentami, které často způsobují potíže s běžným VPN.
Schopnost uzlů vzájemně se propojit pochází z řídicí roviny, kterou obvykle spravuje a udržuje dodavatel VPN.
- Lepší podpora pro zařízení edge
Tradiční sítě VPN primárně existují ve dvou variantách: propojení dvou sítí (site-to-site) a vzdálený přístup z koncového zařízení do sítě (remote access).
Se současnými sítěmi, které se rozšiřují o zařízení na hranici sítě (edge), jejichž úkolem je umožnit firemní provoz, vyžaduje mnoho nasazení edge buď softwarového klienta VPN, nebo síťovou applianci nakonfigurovanou pro přístup VPN typu site-to-site.
Video ke kávě
Máte čas na rychlé a informativní video?
Sítě mesh VPN mohou samozřejmě využít softwarového klienta VPN ve všech populárních operačních systémech, ale lze je také implementovat přímo do kontejnerizovaných aplikací a dalších nasazení, která nemusejí být vhodná pro tradiční sítě VPN.
- Cílený přístup k síťovým službám
Sítě mesh VPN poskytují ve výchozím nastavení přístup jen k ostatním uzlům – členům sítě mesh VPN, nikoli k celé síti. To může zahrnovat servery, pracovní stanice, úložná zařízení, cloudové zdroje, a dokonce i kontejnery aplikací.
Tato schopnost se může často dále zdokonalit tak, aby poskytovala přístup jen k zařízením a službám, jež jsou vhodné pro konkrétního uživatele: to znamená, že zatímco je v síti mesh VPN přístupná celá řada systémů a služeb, jednotliví uživatelé mají přístup jen ke službám, ke kterým mají mít přístup z hlediska firemních potřeb.
Výsledkem těchto schopností jsou v podstatě dynamická pravidla brány firewall mezi uzly na základě rolí uživatelů a firemních požadavků.
Pište pro Computertrends
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computertrends?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.
Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
Z pohledu správy lze uzly a služby seskupovat a omezovat pomocí konceptů, které znají správci cloudu, jako je označování zdrojů (resource tagging) a seznamy řízení přístupu (ACL, Access Control Lists).
- Automatizovaná správa
Většina řešení mesh VPN tyto koncepty dále vylepšuje tím, že nabízí správu založenou na rozhraní API, což znamená, že proces přidělování rolí a přístupu lze integrovat s dalšími nástroji pro správu a orchestraci, které organizace už využívá.
Může to být v podobě řešení rozšířené detekce a reakce (XDR, eXtended Detection and Response), nebo jednoduše jako automatizace na bázi skriptů, která interaguje s firemními systémy.
- Integrace s používanými bezpečnostními nástroji
Řešení mesh VPN jsou od základu vytvořena pro hybridní práci. V důsledku toho potom základní bezpečnostní prvky, jako jsut správa identit (IDM, Identity Management) a správa mobilních zařízení (MDM, Mobile Device Management), pomáhají vytvořit kompaktní základ pro hybridní pracovní sílu.
Integrace mesh VPN s IDM pomáhá zefektivnit zavádění uživatelů při zahájení pracovního poměru (a možná ještě důležitější vyřazování uživatelů při ukončování pracovního poměru) stejně jako dynamické změny v přístupu k systému, založené na změnách uživatelských identit.
Řešení mesh VPN mají také smysl v bezpečnostních zařízeních současně s MDM, protože notebooky, tablety, a dokonce i mobilní telefony zákazníků lze potenciálně přidat jako uzly sítě VPN.
Aby byla síťová služba mesh VPN v podniku úspěšná, je potřebné zohlednit některé neoddiskutovatelné aspekty. Integrace se současnými autentizačními službami je naprostou nutností, a to se vztahuje i na autentizaci zařízení a zajištění, že splňují zásady správy zařízení.
Navíc integrace s existujícími nástroji v rámci bezpečnostní architektury, jako je monitorování událostí i detekce a reakce v koncových bodech (EDR, Endpoint Detection and Response), bude neúprosným požadavkem pro zařízení přistupující ke chráněným službám.
Proč nevolit mesh VPN
Řešení mesh VPN splňují mnoho požadavků, ale jako vždy existuje i druhá strana mince. Firmy, které stále fungují více stylem staré školy s architekturou ve vlastní infrastruktuře, budou mít pravděpodobně lepší varianty z několika důvodů.
- Architektura
Pro organizace, jež stále fungují s koncepcí pevného síťového perimetru a malého, nebo dokonce žádného využití cloudu, nemusí z hybridní identity a funkcí zero trust, které může mesh VPN pomoci zavést, plynout žádný významný přínos.
Podobně platí, že pokud jsou firemní zdroje (jako jsou souborové servery a firemní aplikace) primárně umístěné uvnitř sítě, může být lepší investicí centralizovaný server VPN.
- Náklady
Když už mluvíme o investicích, jedna potenciálně významná nevýhoda řešení mesh VPN spočívá v nákladech za předplatné.
Většina nabídek mesh VPN má měsíční předplatné za každého uživatele, což může rychle narůstat, zejména u některých prémiovějších funkcí.
Vzhledem k tomu, že stále více starších řešení VPN také přechází na licencování založené na předplatném, je nutné tento aspekt pečlivě zvážit.
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU