هفت روش جایگزین VPN برای ایمنی شبکه

شبکه های خصوصی مجازی برای محافظت از اتصالات شبکه راه دور دارای کاستی هایی هستند. این فناوری ها می توانند جایگزین یا مکمل آن شوند.

زمانی، VPN ها برای فراهم کردن دسترسی ایمن به داده ها و سیستم های شرکتی برای تعداد محدودی از نیروی کار طراحی شده بود. حرکت به سمت کار از راه دور انبوه – در زمان کرونا در اوایل سال 2020 -، اوضاع را به طرز چشمگیری تغییر داد. از آن زمان، برای تعداد زیادی از کارمندان دورکاری عادی شده و آنها کمتر به دفتر می روند.

VPN ها برای دورکاری کافی نیستند، و اتکای بیش از حد به آنها برای ایمن سازی تعداد زیادی از کارمندانی که از خانه کار می کنند، خطرات قابل توجهی را به همراه دارد. جوزف کارسون، پژوهشگر ارشد امنیت و مشاور CISO در ThycoticCentrify، به CSO می‌گوید: «وی‌پی‌ان‌ها در ابتدا به شرکت‌ها کمک می‌کردند تا چند کارمند یا پیمانکاران شخص ثالث را که در حین کار از راه دور به دسترسی از راه دور به سیستم‌های خاصی نیاز داشتند، مدیریت کنند. او می افزاید که این امر منجر به تأثیرات منفی بر بهره وری کارکنان و افزایش اصطکاک می شود.

متیو گریسی-مک‌مین، رئیس تحقیقات تهدید Netacea می‌گوید: «استفاده از VPN در چنین مقیاس بزرگی هرگز قابل پیش‌بینی نبود، و این یک کابوس امنیتی برای تیم‌های فناوری اطلاعات ایجاد کرده است، زیرا احتمال حملات سایبری را افزایش می‌دهد.

با همه‌گیری COVID-19، اکثر شرکت‌ها مجبور شدند به سرعت خود را با یک محیط کار کامل از راه دور وفق دهند، و برخی از آن‌ها به‌طور ناامن این کار را انجام دادند، فقط راه‌حل‌های عمومی VPN را به کار بردند تا کارمندان خود را قادر به دسترسی به سیستم‌های مشابه از خانه‌های خود کنند و کورکورانه به سیستم‌های خود اعتماد کنند.

با توجه به اینکه مجموعه کار از راه دور قابل پیش‌بینی است، بسیار مهم است که سازمان‌ها نه تنها کاستی‌ها و خطرات VPN‌ها را در عصر کار از راه دور بشناسند، بلکه بدانند که چگونه گزینه‌های جایگزین می‌توانند آینده کار از راه دور را تضمین کنند.

استفاده از VPN‌ها در ایران، البته به دلایل عدم دسترسی به تعداد زیادی از اپ ها و فضای اینترنتی، سابقه طولانی و گسترده تری نسبت به آنچه در این مقاله می آید دارد. به همین خاطر مخاطرات در این زمینه بسیار بیشتر است.

VPN برای دورکاری کافی نیست

از آنجایی که VPN ها معمولاً شبکه یک سازمان را گسترش می دهند، اگر شبکه ای که کاربر در آن است ناامن باشد، پتانسیل بیشتری برای مهاجم وجود دارد که از آن استفاده کند، شان رایت، مدیر امنیت برنامه در آزمایشگاه های Immersive می گوید. او می‌افزاید: «شبکه‌های خانگی آسیب‌پذیری‌ امنیتی بیشتری دارند که این خطر را افزایش می‌دهد.

کاستی دیگر این واقعیت است که VPN ها فقط ترافیک عبوری بین دو نقطه را رمزگذاری می کنند و به یک پشتیبانی امنیتی کامل نیاز دارد که باید در انتهای هر اتصال VPN مستقر شود. زمانی که افراد یک شرکت یا سازمان در فضای ابری هستند، این دشواری ها بیشتر می شود. VPN ها همچنین راهی برای ایمن کردن دسترسی شخص ثالث فراهم نمی کنند، که همین مورد شامل حمله از بیرون است.

Gracey-McMinn می گوید که اکثر VPN ها حداقل امنیت را با رمزگذاری ترافیک ارائه می کنند و اغلب استفاده از احراز هویت چند عاملی (MFA) را انجام نمی دهند. اگر کامپیوتر یکی از کارکنان هنگام کار در خانه به خطر بیفتد، این می تواند منجر به دسترسی یک عامل مخرب به شبکه یک شرکت از طریق VPN با استفاده از اعتبار او شود، که به آنها دسترسی کامل قابل اعتماد را می دهد – فعالیتی که احتمال کمتری دارد توسط آن شناسایی شود.

احراز هویت چند عاملی (MFA) یک روش احراز هویت است که کاربر را ملزم می کند تا دو یا چند عامل تأیید را برای دسترسی به منبعی مانند برنامه، حساب آنلاین یا VPN ارائه دهد. MFA جزء اصلی یک سیاست مدیریت هویت و دسترسی قوی (IAM) است. MFA به جای درخواست فقط برای نام کاربری و رمز عبور، به یک یا چند عامل تأیید اضافی نیاز دارد که احتمال حمله سایبری موفقیت آمیز را کاهش می دهد.

در حمله باج‌افزار Colonial Pipeline مشاهده شد که “در آن صورت، مهاجمان فقط با استفاده از نام کاربری و اعتبار رمز عبور به خطر افتاده برای یک دستگاه VPN ناامن، به شبکه داخلی دسترسی پیدا کردند.” او همچنین به مواردی اشاره می کند که مهاجمان آسیب پذیری های دستگاه VPN شناخته شده را هدف قرار داده و از آنها سوء استفاده می کنند. اخیراً، ما شاهد سوء استفاده –  12 نوع بدافزار – توسط گروه جرایم سایبری DarkSide بودیم.

یکی دیگر از مسائل مهم مربوط به دستگاه های آلوده به بدافزار است. Duarte می‌گوید: «این سناریو عموماً مربوط به بدافزارهای انسانی است، مانند بات‌نت‌ها و RAT ( تروجان‌های دسترسی از راه دور )». مهاجم یک اتصال از راه دور با دستگاه ایجاد می‌کند و پس از اتصال VPN، بدافزار می‌تواند هویت کاربر را جعل کند و به تمام سیستم‌هایی که به آن دسترسی دارد متصل شود.»

رایت اضافه می کند که دستگاه ها تنها در صورتی به اندازه کافی ایمن خواهند بود که به طور فعال به روز شوند. “شما می توانید امن ترین اتصال VPN جهان را داشته باشید، اما اگر دستگاه به اندازه کافی امنیت نداشته باشد، خطری برای سازمان شما خواهد بود.”

Grunden می گوید VPN ها همچنین از نقطه نظر قابلیت استفاده و بهره وری دارای اشکالات قابل توجهی هستند. “یک شکایت رایج در مورد VPN ها این است که چگونه سرعت شبکه را کاهش می دهند زیرا VPN ها درخواست ها را از طریق سرور دیگری تغییر مسیر می دهند و بنابراین اجتناب ناپذیر است که سرعت اتصال به دلیل افزایش تاخیر شبکه ثابت بماند.” علاوه بر این، مشکلات عملکرد دیگری نیز گاهی در رابطه با استفاده از سوئیچ‌های kill و DHCP ایجاد می‌شود. او می افزاید: «امنیت ارائه شده توسط VPN ها – با این که ضروری است – اغلب با پیچیدگی همراه است، به ویژه در مواردی که از VPN های سازمانی استفاده می شود.

جایگزین های امنیتی مناسب برای دورکاری

سازمان‌ها باید روش‌های امنیتی جایگزین را که برای محافظت از کار از راه دور انبوه مناسب‌تر هستند، بشناسند. اینکه یک کسب‌وکار چه تعداد و چه تعداد از این استراتژی‌ها را ممکن است بررسی کند، بسته به عوامل مختلفی مانند ریسک‌پذیری است. با این حال، کارشناسان امنیتی توافق دارند که موارد زیر به احتمال زیاد برای شرکت‌ها بیشترین تأثیر را دارند.

برای توضیحات بیشتر از امکانات این موارد جایگزین می توانید از لینک های تیتر استفاده کنید.

1- دسترسی به شبکه بدون ( ZTNA)

دسترسی به شبکه (ZTNA) اساساً دسترسی واسطه ای به برنامه ها و داده های موجود در شبکه است. کاربران و دستگاه‌ها قبل از اعطای دسترسی تأیید می‌شوند. کاری که باید انجام دهید این است که یک ذهنیت اعتماد صفر را اتخاذ کنید، همیشه با این فرض که ممکن است یک دستگاه یا حساب کارمند به خطر بیفتد.

روش‌های بدون اعتماد می‌توانند قابلیت‌های اساسی یک VPN، مانند اعطای دسترسی به سیستم‌ها و شبکه‌های خاص را انجام دهند، اما با یک لایه امنیتی اضافه‌شده در قالب دسترسی با حداقل امتیاز، احراز هویت، تأیید و ذخیره اعتبار.

در نتیجه، اگر یک مهاجم موفق شود یک سیستم را آلوده کند، آسیب فقط به آنچه این سیستم به آن دسترسی دارد محدود می شود. همچنین، حتماً راه‌حل‌های نظارت بر شبکه را برای تشخیص رفتار مشکوک پیاده‌سازی کنید، (مانند یک دستگاه که در حال اسکن پورت است) بنابراین می‌توانید به‌طور خودکار یک هشدار ایجاد کنید و سیستم آلوده را خاموش کنید».

2- لبه سرویس دسترسی ایمن ( SASE )

با مدل ZTNA، طبق گفته Gracey-McMinn، هر کاربر و دستگاهی قبل از دسترسی مجاز، نه تنها در سطح شبکه بلکه در سطح برنامه، تأیید و بررسی می‌شود. با این حال، ZTNA تنها بخشی از رفع مشکل است و نمی تواند تمام ترافیک را از یک نقطه پایانی به نقطه دیگر نظارت کند. SASE [لبه سرویس دسترسی امن] این مشکل را حل می کند. به عنوان یک مدل مبتنی بر ابر، SASE شبکه و عملکردهای امنیتی را با هم به عنوان یک سرویس معماری واحد ترکیب می کند که به یک شرکت اجازه می دهد شبکه خود را در یک نقطه منفرد از یک صفحه یکپارچه کند.

Grunden می گوید که SASE یک راه حل مدرن است که برای پاسخگویی به عملکرد و نیازهای امنیتی سازمان های امروزی طراحی شده است و در نهایت به کل نیروی کار یک شرکت امکان‌ می‌دهد تا در هر کجا، ایمن کار کنند.

3- محیط نرم افزاری تعریف شده ( SDP)

Duarte می‌گوید، یک محیط نرم‌افزاری (SDP) که اغلب در استراتژی‌های بدون اعتماد گسترده‌تر پیاده‌سازی می‌شود، یک مرز شبکه مبتنی بر نرم‌افزار به جای سخت‌افزار است و جایگزینی مؤثر برای راه‌حل‌های کلاسیک VPN است. این به شما امکان می‌دهد نه تنها از احراز هویت چند عاملی استفاده کنید و شبکه خود را بخش‌بندی کنید، بلکه می‌توانید کاربر و دستگاه در حال اتصال را نمایه کنید و قوانینی را ایجاد کنید تا بر اساس سناریوهای مختلف فقط به آنچه واقعاً نیاز دارد دسترسی داشته باشید.»

SDP همچنین مسدود کردن دسترسی به منابع را پس از شناسایی یک رفتار مشکوک در شبکه شما آسان‌تر می‌کند، به‌طور مؤثر تهدیدهای احتمالی را جدا می‌کند، آسیب‌های ناشی از حمله را به – جای غیرفعال کردن کامل – به حداقل می‌رساند و در صورت ورود قلابی، بهره‌وری را حفظ می‌کند و باعث می شود کاربر نتواند کار موثری انجام دهد.

4- نرم‌افزار به جای روترهای معمول ( SD-WAN )

VPN ها برای توزیع عملکرد کنترل در سراسر شبکه به یک مدل روتر محور وابسته هستند، جایی که روترها ترافیک را بر اساس آدرس های IP و لیست های کنترل دسترسی (ACL) هدایت می کنند. با این حال، شبکه‌های پهنای تعریف‌شده توسط نرم‌افزار (SD-WAN)، به یک نرم‌افزار و عملکرد کنترل متمرکز متکی هستند که می‌تواند ترافیک را در سراسر WAN به روشی هوشمندانه‌تر با مدیریت ترافیک بر اساس اولویت، امنیت و الزامات کیفیت خدمات هدایت کند.

علاوه بر این، SD-WAN می‌تواند پیکربندی مداوم روترهای WAN را خودکار کند و ترافیک را روی ترکیبی از پیوندهای باند پهن اجرا کند. این یک شبکه در سطح شرکتی با هزینه کمتر، پیچیدگی کمتر، انعطاف پذیری بیشتر و امنیت بهتر ایجاد می کند.

5- مدیریت هویت و دسترسی ( IAM )

راه‌حل‌هایی که شامل فرآیند برای تأیید اعتبار الزامات تلاش‌های ورود به سیستم را دارند، در مقایسه با VPN‌های سنتی، که معمولاً فقط به رمز عبور نیاز دارند، محافظت بیشتری ارائه می‌کنند. یک ویژگی امنیتی IAM [مدیریت هویت و دسترسی] اتصال کاربر برای فعالیت در جلسه و امتیازات دسترسی است. بنابراین مدیران شبکه می‌توانند مطمئن باشند که هر کاربر دسترسی مجاز دارد و می‌تواند هر جلسه شبکه را ردیابی کند. راه‌حل‌های IAM اغلب سطوح دسترسی بیشتری را فراهم می‌کنند تا کاربران تنها بتوانند به منابعی که مجاز به استفاده از آن هستند دسترسی داشته باشند.

البته برای مدیریت دسترسی ممتاز (PAM) مورد نیاز است. چنین حساب‌های سطح بالا باید به دقت مدیریت و نظارت شوند، زیرا آنها بزرگترین خطر را برای امنیت ایجاد می‌کنند.

6- ابزارهای مدیریت ( UEM )

اندرو هویت، تحلیلگر ارشد می گوید: دسترسی مشروط از طریق ابزارهای مدیریت (UEM) می تواند تجربه ای بدون VPN را از طریق قابلیت های دسترسی مشروط فراهم کند، به این ترتیب یک عامل در حال اجرا بر روی دستگاه، شرایط مختلف را قبل از اینکه فرد را قادر به دسترسی به یک منبع خاص کند، ارزیابی می کند. به عنوان مثال، راه حل ممکن است انطباق دستگاه، اطلاعات هویت و رفتار کاربر را ارزیابی کند تا مشخص کند آیا آن شخص واقعاً می تواند به داده های سازمانی دسترسی داشته باشد یا خیر. اغلب، ارائه دهندگان UEM برای محافظت بیشتر با ارائه دهندگان ZTNA ادغام می شوند.

7- زیرساخت دسکتاپ مجازی یا دسکتاپ به عنوان سرویس ( VDI )

زیرساخت‌های دسک‌تاپ مجازی (VDI) یا راه‌حل‌های دسک‌تاپ به‌عنوان یک سرویس، اساساً محاسبات را از ابر (یا از یک سرور ) جریان می‌دهند تا چیزی به صورت محلی روی دستگاه نباشد. جایگزینی برای  VPN، اما هنوز باید در سطح دستگاه به همراه احراز هویت کاربر برای ایمن کردن دسترسی، بررسی شود.

منبع؛

https://www.csoonline.com/article/3635091/7-vpn-alternatives-for-securing-remote-network-access.html