در بخش اول مطلب راهنمای جامع امنسازی نیروی کاری از راه دور: نقش حیاتی VPN امن، به تعریف VPN پرداخته و راههایی که شرکتها برای ارتباط نیروی دورکار با شبکه سازمان استفاده میکنند را شرح دادیم.
نحوه کار VPN چگونه است؟
همانطور که پیشتر اشاره شد، VPN اتصالی خصوصی را میسازد که بهعنوان تونل شناخته میشود. تمام اطلاعاتِ دستگاهی که به VPN متصل است رمزگذاری شده و از این تونل عبور میکند. وقتی که دستگاهی به یک VPN متصل میگردد، طوری رفتار میکند که انگار روی شبکهی Local یکسانی با VPN قرار دارد. VPN ترافیک دستگاه را از طریق اتصال ایمن خود، از وبسایت یا شبکهی موردنظر و همچنین به آن Forward مینماید. این امر به کاربران و دفاترِ از راه دور این امکان را میدهد که بهطور ایمنی به یک شبکهی سازمانی یا وبسایت متصل شوند و همچنین آدرس IP را از هکرها و سارقین مخفی مینماید.
با VPN، دادهها از طریق یک پروتکل Tunneling امن در اینترنت حرکت میکنند و رمزگذاری میشوند تا هیچ شخص ثالثی نتواند دادههای شما را بخواند. دو مجموعه پروتکل شبکهی محبوب برای رمزگذاری عبارتاند از:
- Secure Sockets Layer یا SSL یا اخیراً Transport Layer Security یا TLS
- Internet Protocol Security یا IPsec
در حقیقت رمزگذاری، محتوای اطلاعات شما را دستکاری کرده و باعث میشود غیرقابل خواندن شود؛ طوری که فقط با استفاده از یک Key امکان رمزگشایی آن وجود داشته باشد. پروتکل Tunneling همچنین دادهها را با اطلاعات Routing برای یک کاربر دریافتکننده در یک محفظه قرار میدهد. اتصال دسترسی از راه دور منوط به وجود سروری برای احراز هویت، سطح دسترسی و Accounting است که کاربر را احراز هویت میکند، اجازهی دسترسی میدهد و تمام فعالیتهای آنلاین در طول اتصال را حسابرسی مینماید.
VPN دسترسی از راه دور چیست؟
یک شبکهی خصوصی مجازی دسترسی از راه دور به کاربران دورکار، امکان دسترسی امن به برنامههای کاربردی و دادههایی را میدهد که در دیتاسنتر سازمانی و ساختمان اصلی وجود دارند و تمام ترافیکی که کاربران ارسال و دریافت میکنند را رمزگذاری مینماید.
VPN دسترسی از راه دور، برای این کار یک تونل را بین شبکهی سازمان و یک کاربر دورکار ایجاد مینماید که «بهصورت مجازی خصوصی است»، با اینکه ممکن است کاربر مثلاً در یک کافیشاپ به یک Wi-Fi Hotspot عمومی متصل باشد.
حتماً باید توجه شود که با انتقال برنامههای کاربردی به Cloud، لازم نیست که کاربران بهاندازهی قبل به یک VPN با دسترسی از راه دور متصل شوند. اتصال و پهنای باند ضعیف اینترنت موجب میشود که اتصال کاربران قطع شود، زیرا ترافیک اینترنت بهسوی دیتاسنتر هدایت شده و سپس به سمت اینترنت عمومی میرود. اما کاربرانی که اتصالشان قطع میشود یک مشکل امنیتی ایجاد میکنند، زیرا سازمانها قابلیت دید و کنترل روی ترافیک کاربر را از دست میدهند. برای رفع این نقص، تیمهای امنیتی معمولاً محصولات نقطهای مثل پراکسیها را اضافه میکنند تا وقتی که کاربران از VPN قطع شدند، به ترافیک رسیدگی شود. این کار مشکلی در امنیت ایجاد میکند، زیرا مسیرهای ترافیک مختلفی سیاستهای امنیتی مختلفی را دنبال میکند.
یک رویکرد جدیدتر، استفاده از یک Secure Access Service Edge یا SASE است که با ترکیب شبکه و امنیت شبکه که بهعنوان یک سرویس از Cloud ارائه میگردد، جایگزین ادغامِ VPNها و محصولات نقطهای میشود. سازمانها با استفاده از SASE دیگر نیازی به حفظ یک پراکسی یا VPN مستقل ندارند. در عوض کاربران به یک راهکار SASE متصل میشوند که دسترسی به Cloud و دیتاسنتر را با امنیت مداوم فراهم مینماید.
Site-to-Site VPN چیست؟
Site-to-Site VPN یک اتصال بین دو یا چند شبکه است، مثلاً یک شبکهی سازمانی و یک شبکه شعبه. VPNهای Site-to-Site معمولاً توسط شرکتهایی مورد استفاده قرار میگیرند که چندین دفتر در مکانهایی جغرافیایی مختلف دارند و نیازمند این هستند که بهصورت مداوم به شبکههای سازمانی دسترسی داشته باشند و از آنها استفاده کنند. با یک Site-to-Site VPN، یک شرکت میتواند بهطور ایمنی شبکهی سازمانی خود را به دفاتر از راه دور خود متصل کند و بهعنوان یک شبکهی واحد، منابعی را با آنها به اشتراک بگذارد.
شکل ۱: مثالی از یک Site-to-Site VPN
شاید Site-to-Site VPNها و VPNهای دسترسی از راه دور شبیه به هم به نظر برسند، اما اهداف کاملاً متفاوتی دارند.
- Site-to-Site VPN یک اتصال دائمی است که طراحی شده است تا بهعنوان یک لینک رمزگذاریشده بین دفاتر (همان سایتها) کار کند. این لینک معمولاً بهعنوان یک اتصال شبکهی IPsec بین تجهیزات شبکه تنظیم میشود.
- یک اتصال موقت بین کاربران و ساختمان اصلی است که معمولاً برای دسترسی به برنامههای کاربردی دیتاسنتر مورد استفاده قرار میگیرد. این اتصال میتواند از IPsec استفاده کند، اما استفاده از یک SSL VPN نیز برای تنظیم یک اتصال بین Endpoint یک کاربر و یک VPN Gateway متداول است.
- شرکتها درگذشته برای اتصال به شبکههای سازمانی و دفاتر شعبهای خود در یک توپولوژی Hub-and-Spoke از Site-to-Site VPNها استفاده میکردند. این رویکرد زمانی جواب میدهد که یک شرکتT یک دیتاسنتر داخلی، دادهها و برنامههای کاربردی بسیار حساس یا الزامات پهنای باند حداقلی داشته باشد. اما اکنون که اکثر شرکتها برنامههای کاربردی و دادههای خود را به Cloud بردهاند و نیروهای کاری از راه دور بزرگی دارند، دیگر منطقی نیست که لازم باشد کاربران برای رسیدن به Cloud از یک دیتاسنتر داخلی عبور کنند، آن هم وقتیکه میتوانند مستقیماً به Cloud متصل شوند.
درنتیجه، شرکتها باید توپولوژی شبکه را با دسترسی به برنامههای کاربردی Cloud یا دیتاسنتر تنظیم کنند. این امر سازمانها را به سمت تنظیم معماریهای شبکهای میبرد که به بازگرداندن ترافیک به ساختمان اصلی وابسته نباشند.
همانطور که توضیح داده شد، یک SASE خدمات شبکه و امنیت شبکهای را که شرکتها به آن نیاز دارند مستقیماً از یک زیرساخت Cloud ارائه میدهد. بهعلاوه، SASE چندین قابلیت امنیتی مثل پیشگیری پیشرفتهی تهدید، پیشگیری از سرقت اطلاعات اعتباری، فیلتر وب، Sandboxing، امنیت DNS، پیشگیری از دست رفتن داده یا DLP و قابلیتهای دیگری را از یک پلتفرم که در Cloud ارائه میشود، فراهم مینماید.
این امر به سازمانها اجازه میدهد که بهسادگی دفاتر از راه دور خود را متصل کنند؛ بهطور ایمنی ترافیک را به Cloudهای عمومی یا خصوصی، برنامههای کاربردی Software-as-a-Service یا SaaS یا اینترنت هدایت نمایند و دسترسی را مدیریت و کنترل کنند.