虛擬專(zhuān)用網(wǎng)絡(luò) （VPN） 的企業(yè)選擇過(guò)去非常簡(jiǎn)單。您必須在兩種協(xié)議和少數(shù)供應(yīng)商之間進(jìn)行選擇。那些日子已經(jīng)一去不復(fù)返了。由于大流行，我們擁有比以往更多的遠(yuǎn)程工作者，他們需要更復(fù)雜的保護(hù)。隨著烏克蘭戰(zhàn)爭(zhēng)的繼續(xù)，越來(lái)越多的人轉(zhuǎn)向 VPN 以繞過(guò)俄羅斯和其他威權(quán)政府強(qiáng)加的封鎖，例如Cloudflare 的 VPN 使用數(shù)據(jù)所示。

VPN 可能不是保護(hù)遠(yuǎn)程工作人員的完整答案。當(dāng)有關(guān) Okta 的最新黑客攻擊和去年的 Colonial Pipeline 攻擊的新聞報(bào)道都利用被盜的 VPN 憑據(jù)或當(dāng)黑客找到進(jìn)入 NordVPN、TorGuard 和 VikingVPN 的途徑時(shí)，這無(wú)濟(jì)于事。

當(dāng)然，VPN也有其問(wèn)題，例如缺乏保護(hù)端點(diǎn)網(wǎng)絡(luò)、保護(hù)云計(jì)算時(shí)的盲點(diǎn)以及缺少多因素身份驗(yàn)證 （MFA） 控制。那篇文章提到了保護(hù)遠(yuǎn)程工作流程的其他幾種策略，包括擴(kuò)展零信任網(wǎng)絡(luò)以及使用安全訪(fǎng)問(wèn)服務(wù)邊緣工具、身份和訪(fǎng)問(wèn)管理以及虛擬桌面等產(chǎn)品的組合。

VPN對(duì)企業(yè)很重要的地方

VPN 仍然很有用，對(duì)于現(xiàn)代大部分偏遠(yuǎn)的工作場(chǎng)所來(lái)說(shuō)可能是必不可少的。它們可以在以下四種情況下發(fā)揮作用：

保護(hù)公共（和家庭）網(wǎng)絡(luò)上的數(shù)據(jù)不被中間人攻擊截獲。加密您的網(wǎng)絡(luò)流量使中間商更難窺探和吸納它。

保護(hù)您的智能手機(jī)不被跟蹤，這是與上述問(wèn)題不同的問(wèn)題：大多數(shù)用戶(hù)的手機(jī)上沒(méi)有安裝任何 VPN 軟件。移動(dòng) VPN 產(chǎn)品與更安全的 DNS（如 Cloudflare 的 Warp）相結(jié)合，應(yīng)該在所有企業(yè)用戶(hù)的移動(dòng)設(shè)備上。

作為常旅客的有用工具，尤其是當(dāng)您前往專(zhuān)制政權(quán)或?qū)彶樘囟ɑヂ?lián)網(wǎng)目的地的國(guó)家時(shí)?；蛘?，如果您需要支持偏遠(yuǎn)地區(qū)的用戶(hù)，使用具有附近端點(diǎn)的 VPN 可能是有意義的。

防止您的私人數(shù)據(jù)泄露給您的 ISP，盡管您的 VPN 提供商如果沒(méi)有像應(yīng)有的那樣勤奮，仍然可以獲得這些信息。

最后一項(xiàng)需要更多解釋?zhuān)@也是 NordVPN 和其他公司受到更多審查的原因之一。可悲的是，消費(fèi)者 VPN 提供商在其安全和隱私聲明方面過(guò)度承諾和交付不足，做得很糟糕。許多人大肆宣傳“軍事級(jí)安全”和“100% 不泄露數(shù)據(jù)”。這些完全是胡說(shuō)八道，因?yàn)闆](méi)有通用的軍事安全標(biāo)準(zhǔn)，每個(gè) VPN 都會(huì)以某種方式在某個(gè)地方跟蹤某些東西。另一個(gè)原因：一些 VPN 只不過(guò)是跟蹤偽裝成合法軟件的應(yīng)用程序。研究人員發(fā)現(xiàn)了快速嵌入各種 VPN 中的俄羅斯跟蹤軟件， 其中一些針對(duì)烏克蘭用戶(hù)。

Yael Grauer 與密歇根大學(xué)的一組安全研究人員合作。Grauer 發(fā)現(xiàn)，在團(tuán)隊(duì)測(cè)試的 16 種知名 VPN 服務(wù)中，有12 種夸大了它們可以提供多少保護(hù)。Grauer 的分析還描述了每個(gè) VPN 泄露了哪些數(shù)據(jù)、它們保留客戶(hù)日志的時(shí)間以及在分析業(yè)務(wù) VPN 行為時(shí)可以使用的其他詳細(xì)信息。如果您勤于使用加密電子郵件產(chǎn)品、連接到安全的 DNS 服務(wù)器、在我們所有的登錄中使用復(fù)雜的密碼和 MFA 并避免公共 Wi-Fi 熱點(diǎn)，則其中一些用例可能會(huì)得到部分滿(mǎn)足。這并不總是可能的，這就是為什么我們?nèi)匀恍枰?VPN 來(lái)保護(hù)我們的對(duì)話(huà)。

VPN 現(xiàn)場(chǎng)的明亮標(biāo)志

由于大流行期間對(duì) VPN 的廣泛興趣，它們正在變得越來(lái)越好，值得重新審視。VPN 的部分問(wèn)題是忽略營(yíng)銷(xiāo)方面的胡說(shuō)八道，深入研究該技術(shù)，并在您的安全堆棧中為 VPN 找到合適的位置。事實(shí)上，它們很有幫助，尤其是與可以加密互聯(lián)網(wǎng)流量的軟件定義安全基礎(chǔ)設(shè)施結(jié)合使用時(shí)。讓我們看看最近的幾個(gè)趨勢(shì)和其他發(fā)展，并為現(xiàn)代企業(yè) VPN 部署提出一些建議。

［在這份免費(fèi)的 CIO 路線(xiàn)圖報(bào)告中了解 IT 如何利用 5G 的力量和前景?，F(xiàn)在下載！］

首先，有更廣泛的協(xié)議領(lǐng)域可供選擇，使其更加靈活和吸引人。十多年前，只有兩個(gè)：IPSec和SSL。從那時(shí)起，出現(xiàn)了更新的協(xié)議，旨在優(yōu)化連接速度和整體更好的性能。例如，IETF 發(fā)布了 Internet 密鑰交換 （IKE） 的 v2，它通過(guò)更快的重新連接改進(jìn)了 IPSec 隧道，并內(nèi)置在大多數(shù)當(dāng)前端點(diǎn)操作系統(tǒng)中。許多企業(yè) VPN 也支持 IKEv2，例如 Cisco 的 SSL AnyConnect 和瞻博網(wǎng)絡(luò)的 VPN 產(chǎn)品。

OpenVPN有幾個(gè)使用這個(gè)名稱(chēng)的項(xiàng)目——協(xié)議、VPN 服務(wù)器代碼和各種客戶(hù)端。它的協(xié)議在 SSL 的基礎(chǔ)上進(jìn)行了改進(jìn)，并已被廣泛采用，有幾個(gè)專(zhuān)有版本供 Windscribe、Hotspot Shield、NordVPN 和 ExpressVPN 等消費(fèi)者 VPN 供應(yīng)商使用。IKEv2 和 OpenVPN 協(xié)議都可以使用具有 256 位加密密鑰的 AES，這是現(xiàn)代標(biāo)準(zhǔn)。

然后是WireGuard，它有幾個(gè)項(xiàng)目，包括一些消費(fèi)者 VPN 也支持的協(xié)議，并提供自己的 VPN 服務(wù)器和客戶(hù)端代碼。它的支持者聲稱(chēng)它比 OpenVPN 更快、更容易使用；你可以在 Linux v5.6 內(nèi)核中找到它的一部分。

OpenVPN 和 WireGuard 還可以在任何 UDP（在 OpenVPN 的情況下為 TCP）端口上運(yùn)行，從而使它們?cè)趪?guó)家行為者試圖阻止所有 VPN 使用的情況下更具彈性。WireGuard 還設(shè)計(jì)用于在切換 VPN 服務(wù)器時(shí)保持連接。

OpenVPN 運(yùn)動(dòng)的一個(gè)副產(chǎn)品是消費(fèi)者 VPN 更加關(guān)注開(kāi)源。這很好，因?yàn)楦嗟仃P(guān)注代碼意味著可以修復(fù)錯(cuò)誤和數(shù)據(jù)泄漏，從而提高安全性?！伴_(kāi)放性”有幾個(gè)方面值得探索，因?yàn)橄M(fèi)者 VPN 提供商在其營(yíng)銷(xiāo)描述中對(duì)這個(gè)詞的表述有些不準(zhǔn)確。

詢(xún)問(wèn) VPN 供應(yīng)商的問(wèn)題

供應(yīng)商如何執(zhí)行其安全審計(jì)（內(nèi)部或通過(guò)中立的第三方），這些審計(jì)是如何發(fā)布的？特別是，審計(jì)可以揭示濫用數(shù)據(jù)隱私或泄露客戶(hù)數(shù)據(jù)的 VPN，以及客戶(hù)端和服務(wù)器代碼庫(kù)是否完全開(kāi)放。

供應(yīng)商如何發(fā)布有關(guān)各種執(zhí)法互動(dòng)的透明度報(bào)告？這些信息可以讓企業(yè)安全經(jīng)理大致了解過(guò)去披露了哪些信息，盡管這并不能保證他們將來(lái)會(huì)做什么。

其代碼的哪些部分是開(kāi)源的，哪些是專(zhuān)有的？這適用于客戶(hù)端和服務(wù)器版本以及各種通信協(xié)議。雖然消費(fèi)者 VPN 供應(yīng)商已經(jīng)轉(zhuǎn)向使用開(kāi)源，但大多數(shù)商業(yè) VPN 供應(yīng)商還沒(méi)有。一個(gè)值得注意的例外是Perimeter 81，它結(jié)合了 VPN、防火墻、Web 網(wǎng)關(guān)和其他使用一些開(kāi)源的安全工具。

VPN 如何與身份和安全基礎(chǔ)設(shè)施產(chǎn)品集成？例如，Sonicwall 的 Mobile Connect 支持 Ping、Okta 和 OneLogin 身份提供商；F5 的 Big-IP Access Policy Manager 支持 FIDO U2F 令牌；Palo Alto Networks 的 Okyo Garde 與其 Prisma Access 安全邊緣產(chǎn)品集成。如果您配置各種產(chǎn)品充分利用這些更安全的方法，這使得它們對(duì)商業(yè)用途更具吸引力。

最后，一個(gè)有趣的情況是基于區(qū)塊鏈的分布式 VPN 基礎(chǔ)設(shè)施的興起。這是 VPN 的天然場(chǎng)所，可用于進(jìn)一步混淆流量，并使其更難在分布式網(wǎng)絡(luò)中進(jìn)行跟蹤（Tor 和 Onion 路由器以及 Napster 之前已經(jīng)證明了這一點(diǎn)）。早期的領(lǐng)導(dǎo)者是來(lái)自 Sentinel.co 的基于 Android 的 dVPN。它們背后的概念是，類(lèi)似區(qū)塊鏈的基礎(chǔ)設(shè)施可以證明 VPN 提供類(lèi)似 SLA 的帶寬和特定的加密級(jí)別，并且不會(huì)泄露任何私人數(shù)據(jù)。Sentinel 提供開(kāi)源、跨平臺(tái)的分布式 VPN 客戶(hù)端，他們聲稱(chēng)這些客戶(hù)端具有彈性、安全性和高度可擴(kuò)展性，并且可以?xún)?nèi)置到自定義應(yīng)用程序中。