راهنمای جامع امن‌سازی نیروی دورکار: نقش حیاتی VPN امن – بخش چهارم

در بخش اول مطلب راهنمای جامع امن‌سازی نیروی کاری از راه دور: نقش حیاتی VPN امن، به تعریف VPN پرداخته و راه‌هایی که شرکت‌ها برای ارتباط نیروی دورکار با شبکه سازمان استفاده می‌کنند را شرح دادیم و در بخش دوم این مطلب به برسی نحوه کار VPN پرداختیم. سپس در بخش سوم دلایل نیاز به یک VPN امن برای اتصال به شبکه سازمانی و همچنین مزایای یک VPN امن را تشریح کردیم.

رویکردهای متداول در VPNها

سه رویکرد متداول برای VPNها وجود دارد:

1. Full Tunnel VPN

Full Tunnel VPN ایمن است، ولی مقیاس‌پذیر نیست:

• تمام ترافیک از Stack شبکه‌ی کامل عبور می‌کند.
• برای توسعه‌ی ظرفیت، نیازمند سخت‌افزار اضافی است.
• ترافیکی که به سمت اینترنت می‌رود تراکم داده را روی لینک اینترنت دیتاسنتر ایجاد می‌کند.

شکل۱. نمودار Full-Tunnel VPN

وقتی‌که اتصال رمز‌گذاری‌شده‌ای از Endpoint (مثلاً یک لپ‌تاپ) برقرار شد، کاربر به یک Endpoint سرور در شبکه‌ی سازمانی خود متصل می‌شود. تمام ترافیک شبکه آن Endpoint باید از تونل عبور کند. حتی اگر کاربر از خانه کار می‌کند و معمولاً به Wi-Fi Hotspot خود متصل می‌شود (که از روتر عبور می‌کند و به شبکه‌ی سازمانی رسیده و نهایتاً از طریق اینترنت به شرکت می‌رسد) وقتی‌که یک اتصال VPN با تونل کامل ایجاد می‌گردد، حتی ترافیک به اینترنت نیز باید از تونل به شبکه‌ی سازمانی حرکت کند. سپس از شبکه‌ی سازمانی خارج می‌شود تا به اینترنت برسد و اینگونه دسترسی به منابع سازمانی ایمن می‌گردد.

2. Split-Tunnel VPN

Split-Tunnel VPN امن نیست، اما مقیاس‌پذیرتر از Full-Tunnel VPN است:

• ترافیک اینترنت بررسی نمی‌شود.
• دستگاه موبایل تبدیل می‌شود به یک Backdoor به شبکه‌ی سازمانی.
• مقیاس‌پذیری همچنان یک چالش می‌ماند

شکل ۲. نمودار Split-Tunnel VPN

در مورد یک Split-Tunnel VPN، فقط ترافیکی که هدفش دیتاسنتر باشد از VPN عبور می‌کند. تمام ترافیک‌های دیگر می‌توانند آن را دور بزنند. اتصالات مستقیم به اینترنت مثل گوگل از کانال VPN عبور نمی‌کنند، اما اتصالاتی مثل یک برنامه کاربردی حسابداری، که هدف‌شان منابع سازمانی است از آن عبور می‌نمایند.

3. رویکرد پراکسی Cloud

رویکرد پراکسی Cloud به VPN نه ایمن است نه مقیاس‌پذیر:

• اکثر پورت‌ها و پروتکل‌ها بررسی نمی‌شوند
• عملکرد امنیتی کمتر از حد متوسط و بین کاربرانی که On-Premise یا Remote هستند ناپایدار است
• ابزار تطبیق‌پذیری به‌سادگی توسط بدافزار یا کاربران حرفه‌ای دور زده می‌شود
• معماری Multi-Tenant مقیاس‌پذیری را محدود می‌کند

شکل ۳. نمودار رویکرد VPN پراکسی Cloud

در مورد یک پراکسی Cloud، سرور VPN با یک ارائه‌دهنده‌ی Cloud و نه درون شبکه‌ی سازمانی Host می‌شود و تأثیرات این امر بستگی دارد به اینکه آیا کاربر به خدمات مبتنی بر Cloud دسترسی دارد که روی Cloud هستند یا نیاز دارد به اینکه منابع On-Premises را در معرض VPN قرار دهد. اگر فقط دسترسی به خدمات مبتنی بر Cloud انجام گردد (مثلاً در AWS)، می‌توان یک VPN ایجاد کرد تا از اتصال حفاظت گردد و دسترسی به منابعی داخلی که معمولاً در معرض اینترنت نیستند ممکن شود. اگر فردی بخواهد دسترسی به منابع On-Premise را با استفاده از یک VPN پراکسی Cloud برقرار کند، به یک اتصال رمزگذاری‌شده به Premises نیاز است تا دسترسی به منابع سازمانی (از طریق اینترنت به ارائه‌دهنده‌ی Cloud) روی یک VPN امن برقرار گردد. از ارائه‌دهنده‌ی Cloud، کارمندان به منابع سازمانی دسترسی دارند.

موارد کاربرد VPN برای نیروی دورکار

تداوم کسب‌وکار

وقتی یک فاجعه‌ی محلی، ملی یا حتی جهانی رخ می‌دهد، کارمندان باید بتوانند کار کنند و وظایف خود را به انجام برسانند. VPN بخش مهمی از مجموعه راهکارهایی است که سازمان‌ها برای تداوم کسب‌وکار به آن نیاز دارند.

دسترسی پیمانکاران

پیمانکاران نیز باید بتوانند به سیستم سازمان دسترسی داشته باشند. VPN باعث می‌شود که بتوان به‌سادگی دسترسی به شبکه را برای آن‌ها فراهم نمود و با استفاده از پیکربندی‌های Policy یا VPN می‌توان از اینکه دسترسی پیمانکار تأثیر منفی روی امنیت شبکه‌ی سازمان بگذارد، پیشگیری کرد.

کار از راه دور

کار از راه دور نیازمند این است که کارمندان انعطاف‌پذیری لازم برای کار به‌صورت ایمن را داشته باشند.

تحرک‌پذیری

چه در خانه، چه درون یک کافی‌شاپ و چه در دفتر، کارمندان همیشه به دستگاه‌های موبایل خود اتکا می‌کنند و فارغ از اینکه از کجا کار می‌کنند، همیشه نیازمند دسترسی به منابع سازمانی هستند. VPN اتصال امنی را فراهم می‌کند که برای توانمندسازی نیروی کاری از راه دور ضروری است.

چطور باید از امن بودن VPN اطمینان حاصل کرد؟

روی کاغذ، VPN همیشه امن است، زیرا یک شبکه‌ی خصوصی است؛ بااین‌حال همچنان به Policyها و کنترل‌های مناسب نیاز دارد. تنها در صورتی می‌توان یک تونل را ایجاد کرد که هر دو طرف با یکدیگر ارتباط برقرار کنند. بدون این مرحله، VPN امن نیست. تنها در صورتی تونل شکل می‌گیرد که هر دو طرف ارتباط برقرار کنند و عملاً بگویند: «بله، ما این تونل را بین دو طرف ساخته‌ایم.»

در مورد پروتکل‌های VPN، معمولاً IPsec پروتکل انتخابی است. IPsec از چندین طرح رمزگذاری مختلف پشتیبانی می‌کند که برخی از آن‌ها از طرح‌های دیگر امن‌تر هستند. معمولاً باید پیش از استفاده از VPN، کاربر را احراز هویت نمود. بسته به روش احراز هویت، که معمولاً مبتنی بر Certificate است نه نام کاربری و رمز عبور، باید قبل از ایجاد یک اتصال VPN، اعتمادی از پیش تعیین شده بین Endpoint و سرور وجود داشته باشد.

Encapsulate کردن یک Packet برای جابه‌جایی امن روی شبکه را می‌توان از طریق پروتکل IPsec به انجام رسانید. مثلاً در مورد یک Site-to-Site VPN، یک Host مبدأ در شبکه یک IP Packet را مخابره می‌کند. وقتی‌که آن Packet به کناره‌ی شبکه می‌رسد، با یک VPN Gateway ارتباط برقرار می‌نماید. آن VPN Gateway که با شبکه ارتباط می‌گیرد، IP Packet خصوصی را رمزگذاری کرده و آن را از طریق یک ESP Tunnel به یک VPN Gateway مشابه در کناره‌ی شبکه‌ی بعدی می‌فرستد که Gateway آن، Packet را رمزگشایی کرده و آن را به Host مقصد تحویل می‌دهد.