VPN面临四大挑战

2020年即将过去一半,新冠疫情对全球企业处理远程工作以及未来业务支撑架构产生了重大影响。但这只是序幕,如果企业把新冠疫情当作一场“临时性的”危机来应对,很可能出现战略上的重大偏差,因为新冠疫情对远程办公和企业数字化基础设施的影响可能比我们想象得更加长久。

根据Gartner 最近的CFO调查,新冠病毒大流行之后,有74%的组织会将至少5%的现场工作岗位永久转变为远程办公职位。这意味着,在不久的将来,在全球范围内远程办公将成为常态,这意味着企业需要从根本上改变未来的安全架构和投资策略,而不仅仅是着眼于一些“补救和应急”措施。

“新冠变革”首当其冲的,就是古老的远程办公安全通讯方式——VPN。在这场人类最大规模的数字化迁徙中,传统VPN面临以下四个挑战:

1. VPN在物理上受到限制

除了需要匹配专有软件/操作系统配置(漏洞较多且难以自动化修补)外,传统VPN还需要一个本地设备(VPN服务器),该设备支持的用户数量受硬件限制。许多企业使用多年前的远程工作负荷统计数据来确定其VPN设备的规格,导致在新冠疫情期间无法满足急速增长的远程办公需求,资源消耗和“卡顿”问题被成倍放大。新冠疫情堪称VPN的滑铁卢,很多企业开始采用创新的方法来弥补VPN的扩展性短板,例如限制VPN的使用来选择工作人员,购买辅助解决方案,强制执行非一致性策略等,但是这些方法只是权宜之计,越来越多的企业开始将目光投向VPN 的替代方案,例如零信任架构。

2. VPN无法平衡生产力和安全性

关于生产力和安全性平衡的争论的由来已久,但VPN无法提供可行的解决方案。企业是否为了生产力和业务灵活性允许更多不安全访问,从而牺牲了安全性?还是强制所有流量都通过安全基础设施进行路由和过滤,导致VPN,Web网关和防火墙超载,用户体验下降而对生产力产生负面影响?不少VPN用户抱怨,VPN导致他们工作效率大幅下降。与此同时,企业IT专业人员雇员则抱怨太多员工没有采取适当的安全措施,导致公司的笔记本电脑感染恶意软件,敏感信息泄露。使用传统的VPN,生产力与安全性陷入了零和的僵局。

3. VPN不适合移动设备

VPN使用的协议在初始阶段非常耗费资源,用户需要花费一些时间进行连接。在桌面环境,连接一旦建立往往会持续很长时间,因此建立连接的麻烦被容忍了。但对于移动设备来说,VPN的连接就是一场灾难。每当用户的设备进入睡眠状态或更改网络时,VPN都将中断并必须重新连接。此外,移动应用程序从技术层面并不能识别或感知VPN状态,因此当VPN重新连接时,应用程序响应速度会受到极大影响,甚至会卡死,用户体验大受影响。根据Wandera的调查数据,一个标准的远程办公的知识工作者一天中需要与移动设备进行近100次交互,这意味着VPN每天需要重新连接100次,每次重新连接都会耗费时间。对于企业而言,时间就是金钱,所有浪费的时间都会转化为收入的损失。

4. VPN不适应现代劳动力和数字化转型

在当今的企业业务生态系统中,各种远程用户正在选择自己的设备(BYOD),并与组织外部的个人进行协作。过去,VPN的管理方式是通过设备上的证书来启动会话。通过访问证书可以授予对组织基础结构的访问权限,因此,VPN的使用通常仅限于公司管理的设备。这意味着BYOD设备以及承包商或合作伙伴使用的设备通常无法使用公司的远程访问工具。

根据2016年的研究报告,每周平均有89个不同的供应商(承包商,合作伙伴,自由职业者等)访问企业网络,鉴于跨行业的快速数字化转型,这一数字可能会逐年增长。如果数字生态中的第三方拥有不受公司管理的设备,则无法访问公司VPN,但他们通常可以访问敏感信息或协作工具。除第三方风险管理外,今年上半年冠状病毒刺激的远程工作激增,使一些企业被迫放宽安全政策,进一步增加了风险。无数的企业试图为员工提供公司设备而失败了,这迫使许多企业推翻了过去的BYOD政策,并采取“有什么用什么”的方法进行远程办公,导致接入企业网络的非受控的、不安全的设备数量激增,企业面临的安全威胁和攻击面也随时扩大。面对新冠疫情后的远程办公常态化趋势,这种临时的BYOD政策带来的安全副作用将逐步显现。

总结:

企业的数字化转型和基础架构向云过渡,很大一部分涉及向软件即服务应用程序(SaaS)的迁移。如今,企业的信息资产不再依附专用网络,虽然某些敏感资产仍放在防火墙后面,但大多数用户、业务场景和业务数据都在互联网上。

传统VPN面临着巨大挑战,尤其是当部分数据和应用程序在本地部署,而另外一些在云中时(混合云模式),安全问题将变得尤为复杂——从员工到承包商和合作伙伴的每一方都使用来自多个位置的各种设备来访问这些应用程序。

这就需要一种新的思维方式和一种新的安全方法(例如零信任架构),即基于云的安全访问与身份管理。与传统的VPN相比,企业需要基于云的保护来进行流量过滤和对移动应用友好的流量导引方式,在不破坏用户体验的基础上提供高可扩展性的,透明的,动态验证的,跨平台的安全访问服务,适用于任何用于远程办公设备,无论是Windows 10笔记本电脑,MacBook,iOS平板电脑还是Android智能手机。

上一篇:安芯网盾完成数千万元pre-A轮融资,将持续深耕内存安全

下一篇:网络安全人才培养应注重“持续学习”