راهنمای جامع امن‌سازی نیروی دورکار: نقش حیاتی VPN امن – بخش دوم

در بخش اول مطلب راهنمای جامع امن‌سازی نیروی کاری از راه دور: نقش حیاتی VPN امن، به تعریف VPN پرداخته و راه‌هایی که شرکت‌ها برای ارتباط نیروی دورکار با شبکه سازمان استفاده می‌کنند را شرح دادیم.

نحوه کار VPN چگونه است؟

همانطور که پیش‌تر اشاره شد، VPN اتصالی خصوصی را می‌سازد که به‌عنوان تونل شناخته می‌شود. تمام اطلاعاتِ دستگاهی که به VPN متصل است رمزگذاری شده و از این تونل عبور می‌کند. وقتی که دستگاهی به یک VPN متصل می‌گردد، طوری رفتار می‌کند که انگار روی شبکه‌ی Local یکسانی با VPN قرار دارد. VPN ترافیک دستگاه را از طریق اتصال ایمن خود، از وبسایت یا شبکه‌ی موردنظر و همچنین به آن Forward می‌نماید. این امر به کاربران و دفاترِ از راه دور این امکان را می‌دهد که به‌طور ایمنی به یک شبکه‌ی سازمانی یا وب‌سایت متصل شوند و همچنین آدرس IP را از هکرها و سارقین مخفی می‌نماید.

با VPN، داده‌ها از طریق یک پروتکل Tunneling امن در اینترنت حرکت می‌کنند و رمزگذاری می‌شوند تا هیچ شخص ثالثی نتواند داده‌های شما را بخواند. دو مجموعه پروتکل شبکه‌ی محبوب برای رمزگذاری عبارت‌اند از:

1. Secure Sockets Layer یا SSL یا اخیراً Transport Layer Security یا TLS
2. Internet Protocol Security یا IPsec

در حقیقت رمزگذاری، محتوای اطلاعات شما را دستکاری کرده و باعث می‌شود غیرقابل خواندن شود؛ طوری که فقط با استفاده از یک Key امکان رمزگشایی آن وجود داشته باشد. پروتکل Tunneling همچنین داده‌ها را با اطلاعات Routing برای یک کاربر دریافت‌کننده در یک محفظه قرار می‌دهد. اتصال دسترسی از راه دور منوط به وجود سروری برای احراز هویت، سطح دسترسی و Accounting است که کاربر را احراز هویت می‌کند، اجازه‌ی دسترسی می‌دهد و تمام فعالیت‌های آنلاین در طول اتصال را حسابرسی می‌نماید.

VPN دسترسی از راه دور چیست؟

یک شبکه‌ی خصوصی مجازی دسترسی از راه دور به کاربران دورکار، امکان دسترسی امن به برنامه‌های کاربردی و داده‌هایی را می‌دهد که در دیتاسنتر سازمانی و ساختمان اصلی وجود دارند و تمام ترافیکی که کاربران ارسال و دریافت می‌کنند را رمزگذاری می‌نماید.

VPN دسترسی از راه دور، برای این کار یک تونل را بین شبکه‌ی سازمان و یک کاربر دورکار ایجاد می‌نماید که «به‌صورت مجازی خصوصی است»، با اینکه ممکن است کاربر مثلاً در یک کافی‌شاپ به یک Wi-Fi Hotspot عمومی متصل باشد.

حتماً باید توجه شود که با انتقال برنامه‌های کاربردی به Cloud، لازم نیست که کاربران به‌اندازه‌ی قبل به یک VPN با دسترسی از راه دور متصل شوند. اتصال و پهنای باند ضعیف اینترنت موجب می‌شود که اتصال کاربران قطع شود، زیرا ترافیک اینترنت به‌سوی دیتاسنتر هدایت شده و سپس به سمت اینترنت عمومی می‌رود. اما کاربرانی که اتصال‌شان قطع می‌شود یک مشکل امنیتی ایجاد می‌کنند، زیرا سازمان‌ها قابلیت دید و کنترل روی ترافیک کاربر را از دست می‌دهند. برای رفع این نقص، تیم‌های امنیتی معمولاً محصولات نقطه‌ای مثل پراکسی‌ها را اضافه می‌کنند تا وقتی که کاربران از VPN قطع شدند، به ترافیک رسیدگی شود. این کار مشکلی در امنیت ایجاد می‌کند، زیرا مسیرهای ترافیک مختلفی سیاست‌های امنیتی مختلفی را دنبال می‌کند.

یک رویکرد جدیدتر، استفاده از یک Secure Access Service Edge یا SASE است که با ترکیب شبکه و امنیت شبکه که به‌عنوان یک سرویس از Cloud ارائه می‌گردد، جایگزین ادغامِ VPNها و محصولات نقطه‌ای می‌شود. سازمان‌ها با استفاده از SASE دیگر نیازی به حفظ یک پراکسی یا VPN مستقل ندارند. در عوض کاربران به یک راهکار SASE متصل می‌شوند که دسترسی به Cloud و دیتاسنتر را با امنیت مداوم فراهم می‌نماید.

Site-to-Site VPN چیست؟

Site-to-Site VPN یک اتصال بین دو یا چند شبکه است، مثلاً یک شبکه‌ی سازمانی و یک شبکه‌ شعبه. VPNهای Site-to-Site معمولاً توسط شرکت‌هایی مورد استفاده قرار می‌گیرند که چندین دفتر در مکان‌هایی جغرافیایی مختلف دارند و نیازمند این هستند که به‌صورت مداوم به شبکه‌های سازمانی دسترسی داشته باشند و از آن‌ها استفاده کنند. با یک Site-to-Site VPN، یک شرکت می‌تواند به‌طور ایمنی شبکه‌ی سازمانی خود را به دفاتر از راه دور خود متصل کند و به‌عنوان یک شبکه‌ی واحد، منابعی را با آن‌ها به اشتراک بگذارد.

شکل ۱: مثالی از یک Site-to-Site VPN

شاید  Site-to-Site VPNها و VPNهای دسترسی از راه دور شبیه به هم به نظر برسند، اما اهداف کاملاً متفاوتی دارند.

• Site-to-Site VPN یک اتصال دائمی است که طراحی شده است تا به‌عنوان یک لینک رمزگذاری‌شده بین دفاتر (همان سایت‌ها) کار کند. این لینک معمولاً به‌عنوان یک اتصال شبکه‌ی IPsec بین تجهیزات شبکه تنظیم می‌شود.
• یک اتصال موقت بین کاربران و ساختمان اصلی است که معمولاً برای دسترسی به برنامه‌های کاربردی دیتاسنتر مورد استفاده قرار می‌گیرد. این اتصال می‌تواند از IPsec استفاده کند، اما استفاده از یک SSL VPN نیز برای تنظیم یک اتصال بین Endpoint یک کاربر و یک VPN Gateway متداول است.
• شرکت‌ها درگذشته برای اتصال به شبکه‌های سازمانی و دفاتر شعبه‌ای خود در یک توپولوژی Hub-and-Spoke از Site-to-Site VPNها استفاده می‌کردند. این رویکرد زمانی جواب می‌دهد که یک شرکتT یک دیتاسنتر داخلی، داده‌ها و برنامه‌های کاربردی بسیار حساس یا الزامات پهنای باند حداقلی داشته باشد. اما اکنون که اکثر شرکت‌ها برنامه‌های کاربردی و داده‌های خود را به Cloud برده‌اند و نیروهای کاری از راه دور بزرگی دارند، دیگر منطقی نیست که لازم باشد کاربران برای رسیدن به Cloud از یک دیتاسنتر داخلی عبور کنند، آن هم وقتی‌که می‌توانند مستقیماً به Cloud متصل شوند.

درنتیجه، شرکت‌ها باید توپولوژی شبکه را با دسترسی به برنامه‌های کاربردی Cloud یا دیتاسنتر تنظیم کنند. این امر سازمان‌ها را به سمت تنظیم معماری‌های شبکه‌ای می‌برد که به بازگرداندن ترافیک به ساختمان اصلی وابسته نباشند.

همانطور که توضیح داده شد، یک SASE خدمات شبکه و امنیت شبکه‌ای را که شرکت‌ها به آن نیاز دارند مستقیماً از یک زیرساخت Cloud ارائه می‌دهد. به‌علاوه، SASE چندین قابلیت امنیتی مثل پیشگیری پیشرفته‌ی تهدید، پیشگیری از سرقت اطلاعات اعتباری، فیلتر وب، Sandboxing، امنیت DNS، پیشگیری از دست رفتن داده یا DLP و قابلیت‌های دیگری را از یک پلتفرم که در Cloud ارائه می‌شود، فراهم می‌نماید.

این امر به سازمان‌ها اجازه می‌دهد که به‌سادگی دفاتر از راه دور خود را متصل کنند؛ به‌طور ایمنی ترافیک را به Cloudهای عمومی یا خصوصی، برنامه‌های کاربردی Software-as-a-Service یا SaaS یا اینترنت هدایت نمایند و دسترسی را مدیریت و کنترل کنند.