در بخش اول مطلب راهنمای جامع امنسازی نیروی کاری از راه دور: نقش حیاتی VPN امن، به تعریف VPN پرداخته و راههایی که شرکتها برای ارتباط نیروی دورکار با شبکه سازمان استفاده میکنند را شرح دادیم و در بخش دوم این مطلب به برسی نحوه کار VPN پرداختیم. سپس در بخش سوم دلایل نیاز به یک VPN امن برای اتصال به شبکه سازمانی و همچنین مزایای یک VPN امن را تشریح کردیم.
رویکردهای متداول در VPNها
سه رویکرد متداول برای VPNها وجود دارد:
- Full Tunnel VPN
Full Tunnel VPN ایمن است، ولی مقیاسپذیر نیست:
- تمام ترافیک از Stack شبکهی کامل عبور میکند.
- برای توسعهی ظرفیت، نیازمند سختافزار اضافی است.
- ترافیکی که به سمت اینترنت میرود تراکم داده را روی لینک اینترنت دیتاسنتر ایجاد میکند.
شکل۱. نمودار Full-Tunnel VPN
وقتیکه اتصال رمزگذاریشدهای از Endpoint (مثلاً یک لپتاپ) برقرار شد، کاربر به یک Endpoint سرور در شبکهی سازمانی خود متصل میشود. تمام ترافیک شبکه آن Endpoint باید از تونل عبور کند. حتی اگر کاربر از خانه کار میکند و معمولاً به Wi-Fi Hotspot خود متصل میشود (که از روتر عبور میکند و به شبکهی سازمانی رسیده و نهایتاً از طریق اینترنت به شرکت میرسد) وقتیکه یک اتصال VPN با تونل کامل ایجاد میگردد، حتی ترافیک به اینترنت نیز باید از تونل به شبکهی سازمانی حرکت کند. سپس از شبکهی سازمانی خارج میشود تا به اینترنت برسد و اینگونه دسترسی به منابع سازمانی ایمن میگردد.
- Split-Tunnel VPN
Split-Tunnel VPN امن نیست، اما مقیاسپذیرتر از Full-Tunnel VPN است:
- ترافیک اینترنت بررسی نمیشود.
- دستگاه موبایل تبدیل میشود به یک Backdoor به شبکهی سازمانی.
- مقیاسپذیری همچنان یک چالش میماند
شکل ۲. نمودار Split-Tunnel VPN
در مورد یک Split-Tunnel VPN، فقط ترافیکی که هدفش دیتاسنتر باشد از VPN عبور میکند. تمام ترافیکهای دیگر میتوانند آن را دور بزنند. اتصالات مستقیم به اینترنت مثل گوگل از کانال VPN عبور نمیکنند، اما اتصالاتی مثل یک برنامه کاربردی حسابداری، که هدفشان منابع سازمانی است از آن عبور مینمایند.
- رویکرد پراکسی Cloud
رویکرد پراکسی Cloud به VPN نه ایمن است نه مقیاسپذیر:
- اکثر پورتها و پروتکلها بررسی نمیشوند
- عملکرد امنیتی کمتر از حد متوسط و بین کاربرانی که On-Premise یا Remote هستند ناپایدار است
- ابزار تطبیقپذیری بهسادگی توسط بدافزار یا کاربران حرفهای دور زده میشود
- معماری Multi-Tenant مقیاسپذیری را محدود میکند
شکل ۳. نمودار رویکرد VPN پراکسی Cloud
در مورد یک پراکسی Cloud، سرور VPN با یک ارائهدهندهی Cloud و نه درون شبکهی سازمانی Host میشود و تأثیرات این امر بستگی دارد به اینکه آیا کاربر به خدمات مبتنی بر Cloud دسترسی دارد که روی Cloud هستند یا نیاز دارد به اینکه منابع On-Premises را در معرض VPN قرار دهد. اگر فقط دسترسی به خدمات مبتنی بر Cloud انجام گردد (مثلاً در AWS)، میتوان یک VPN ایجاد کرد تا از اتصال حفاظت گردد و دسترسی به منابعی داخلی که معمولاً در معرض اینترنت نیستند ممکن شود. اگر فردی بخواهد دسترسی به منابع On-Premise را با استفاده از یک VPN پراکسی Cloud برقرار کند، به یک اتصال رمزگذاریشده به Premises نیاز است تا دسترسی به منابع سازمانی (از طریق اینترنت به ارائهدهندهی Cloud) روی یک VPN امن برقرار گردد. از ارائهدهندهی Cloud، کارمندان به منابع سازمانی دسترسی دارند.
موارد کاربرد VPN برای نیروی دورکار
تداوم کسبوکار
وقتی یک فاجعهی محلی، ملی یا حتی جهانی رخ میدهد، کارمندان باید بتوانند کار کنند و وظایف خود را به انجام برسانند. VPN بخش مهمی از مجموعه راهکارهایی است که سازمانها برای تداوم کسبوکار به آن نیاز دارند.
دسترسی پیمانکاران
پیمانکاران نیز باید بتوانند به سیستم سازمان دسترسی داشته باشند. VPN باعث میشود که بتوان بهسادگی دسترسی به شبکه را برای آنها فراهم نمود و با استفاده از پیکربندیهای Policy یا VPN میتوان از اینکه دسترسی پیمانکار تأثیر منفی روی امنیت شبکهی سازمان بگذارد، پیشگیری کرد.
کار از راه دور
کار از راه دور نیازمند این است که کارمندان انعطافپذیری لازم برای کار بهصورت ایمن را داشته باشند.
تحرکپذیری
چه در خانه، چه درون یک کافیشاپ و چه در دفتر، کارمندان همیشه به دستگاههای موبایل خود اتکا میکنند و فارغ از اینکه از کجا کار میکنند، همیشه نیازمند دسترسی به منابع سازمانی هستند. VPN اتصال امنی را فراهم میکند که برای توانمندسازی نیروی کاری از راه دور ضروری است.
چطور باید از امن بودن VPN اطمینان حاصل کرد؟
روی کاغذ، VPN همیشه امن است، زیرا یک شبکهی خصوصی است؛ بااینحال همچنان به Policyها و کنترلهای مناسب نیاز دارد. تنها در صورتی میتوان یک تونل را ایجاد کرد که هر دو طرف با یکدیگر ارتباط برقرار کنند. بدون این مرحله، VPN امن نیست. تنها در صورتی تونل شکل میگیرد که هر دو طرف ارتباط برقرار کنند و عملاً بگویند: «بله، ما این تونل را بین دو طرف ساختهایم.»
در مورد پروتکلهای VPN، معمولاً IPsec پروتکل انتخابی است. IPsec از چندین طرح رمزگذاری مختلف پشتیبانی میکند که برخی از آنها از طرحهای دیگر امنتر هستند. معمولاً باید پیش از استفاده از VPN، کاربر را احراز هویت نمود. بسته به روش احراز هویت، که معمولاً مبتنی بر Certificate است نه نام کاربری و رمز عبور، باید قبل از ایجاد یک اتصال VPN، اعتمادی از پیش تعیین شده بین Endpoint و سرور وجود داشته باشد.
Encapsulate کردن یک Packet برای جابهجایی امن روی شبکه را میتوان از طریق پروتکل IPsec به انجام رسانید. مثلاً در مورد یک Site-to-Site VPN، یک Host مبدأ در شبکه یک IP Packet را مخابره میکند. وقتیکه آن Packet به کنارهی شبکه میرسد، با یک VPN Gateway ارتباط برقرار مینماید. آن VPN Gateway که با شبکه ارتباط میگیرد، IP Packet خصوصی را رمزگذاری کرده و آن را از طریق یک ESP Tunnel به یک VPN Gateway مشابه در کنارهی شبکهی بعدی میفرستد که Gateway آن، Packet را رمزگشایی کرده و آن را به Host مقصد تحویل میدهد.