現在對許多員工而言,早上的工作流程與以往大不相同。他們不必去辦公室上班,而是泡杯咖啡,「移動」到他們的住家工作空間,然後連線至虛擬私人網路(VPN)存取公司資源及應用程式。
VPN 是最久經時間考驗的解決方案之一,儘管有些風險,但它可提供安全的遠端存取。我說它有風險,是因為如果未正確實行及維護,攻擊者可攻擊其弱點取得對敏感系統及資料的特權存取。事實上,一些組織正在採用新方法來連接其遠距員工,以解除對 VPN 或代理程式的需要,這也有助於簡化運作及用戶的工作流程。
對於使用 VPN 的組織,正確加密 VPN 堆疊、使用正確的加密方式及持續監控流量模式與使用情況極其重要。更為重要的是確保登入 VPN 的用戶通過高保證等級的驗證、裝置也經過驗證,同時相關特權及權利符合…這聽起來像不像是零信任安全概念的基本原則?
讓我們在零信任安全概念三大支柱的背景下探討實施VPN 的五種最佳做法。
規則 1:驗證用戶身份:確保 VPN 解決方案可支援透過RADIUS 及/或 SAML 的多重要素身份驗證(MFA)。
大多數 VPN 解決方案支援不同類型的身份驗證機制,這取決於 VPN 的類型(站點對站點、遠端用戶)。其中一種透過使用 RADIUS 來支援 MFA,即 VPN 伺服器成為一個 RADIUS 伺服器的 RADIUS 客戶端,進而執行多重要素驗證。例如 CyberArk Idaptive 連接器軟體可作為 RADIUS伺服器及 AD 代理伺服器執行 AD 身份驗證,並可以行動身份驗證器、OATH OTP、電子郵件的形式提出第二個要素。
下圖所示為 RADIUS 客戶端與作為 RADIUS 伺服器的 CyberArk Idaptive 連接器之間的 RADIUS 式驗證步驟。
將 VPN 與外部 IDP 整合進行驗證的另一個方法是透過SAML。有些 VPN 供應商並不支援此功能,如果支援則無需在終端上安裝桌面 VPN 客戶端。下圖說明 Palo Alto Network 的 Global Protect 解決方案如何採用此方法。
因此在尋找 VPN 解決方案時,您應該問自己:
- 它支援 MFA 嗎?
- 這個解決方案是否需要在終端上安裝 VPN 客戶端?如果需要,它可支援哪些身份驗證機制?例如,有些機制會被直接推送至驗證服務供應商(AP)進行驗證,有些機制則要求最終用戶與 VPN 客戶端互動以輸入一個驗證碼(例如 OATH OTP 驗證碼),然後發送至 AP 進行驗證。
- 這個解決方案是否支援無客戶端的 VPN 身份驗證機制(例如 SAML)?這將會特別方便,因為 IT 管理員不必確保每個客戶端都已安裝正確的客戶端版本,因此能夠以安全的方式支援更多種終端。有些客戶端(例如Cisco 的 Anyconnect)可支援嵌入式瀏覽器,因此可進而支援 SAML。
規則 2: 限制存取:確保 RADIUS 伺服器能使用特定屬性限制存取及授權。
若要授予用戶超過一種存取權限,則須使用供應商的特定屬性。例如可根據用戶角色授予用戶特定的特權級別,從而限制存取。VSA 可與 RADIUS 定義的屬性結合使用。例如此連結將顯示思科的 VSA。
規則 3: 驗證用戶身份:驗證服務供應商(在此例為CyberArk Idaptive)解決方案可支援異質 VPN 環境。
很多時候,一個組織可能有多個 VPN 供應商,為身份驗證及存取控制提供各種不同的協定支援。RADIUS 伺服器/ IDP 必須能夠支援不同的驗證設定檔,例如針對不同的VPN 伺服器(RADIUS 客戶端)。例如,若要從一部 VPN伺服器存取較敏感的資源類型,則可使用驗證功能較強的驗證設定檔,而有別於保存較不重要資源的 VPN 伺服器。
規則 4:智慧化限制存取:IDP 解決方案可提供一種自適應、具風險意識的解決方案。
即使是一部 VPN 伺服器,驗證服務供應商也必須能夠提供一種偵測用戶行為異常的方法,並根據用戶的風險提出不同挑戰。在現今情勢下,這一點尤為重要,因為絕大多數工作者在可預見的未來仍都會遠距工作。
規則 5:驗證裝置: :終端本身受到 MFA 和條件式存取的保護。
由於用戶處於遠距狀態,並且可能使用自己的裝置(BYOD),因此僅向通過 MFA 驗證的用戶授予登入其裝置的存取權極為重要。
有關保護您的遠距勞動力的更多資訊,請造訪我們的風險隔離資源中心。
