手机谷歌用什么vpn
长期以来VPN都是远程安全访问的首选技术,然而,随着远程/混合办公的普及和常态化,传统VPN在应对复杂网络环境和新型安全威胁方面显得力不从心,暴露出诸多致命缺陷。本文将介绍未来几年最热门的九种VPN替代技术。
著名的殖民地管道(Colonial Pipeline)勒索攻击正是利用了泄漏的VPN设备用户名和密码,导致网络被完全控制。
传统VPN的风险和缺点已经非常明确,企业有必要对VPN的替代技术方案进行战略性投资,并在考虑替代远程访问解决方案时评估一些关键因素。最重要的是包括零信任原则:要求每次连接尝试都进行强身份验证、评估合规性、实施最小特权以及在每次尝试访问公司数据或服务时建立可信连接。
选择VPN替代技术方案另一个关注重点是支持现代管理。集中化管理是第一步,自动化功能(例如补丁管理、策略(身份验证、加密手机谷歌用什么vpn、风险评分等)以及与安全堆栈其他组件的集成)则可减轻现代风险和攻击媒介。
以下是九种VPN替代技术的详细解析,不仅列出其核心功能,还探讨了实际应用场景及实施中的关键考虑,为企业提供更丰富的安全解决方案:
零信任网络访问(ZTNA)本质上是对网络上的应用程序和数据的代理访问。在授予访问权限之前,用户和设备会接受质询和确认。
零信任方法可以执行VPN的基本功能,例如授予对某些系统和网络的访问权限,但通过最小特权访问、身份验证、就业验证和凭证存储增加了一层安全性。因此,如果攻击者成功感染系统,损害仅限于该系统可以访问的内容。零信任模型还可包括网络监控解决方案,以检测可疑行为。
在零信任网络访问(ZTNA)模型中,每个用户和设备在允许访问之前都会经过验证和检查,不仅在网络级别,而且在应用程序级别。然而,零信任只是解决问题的一部分,无法监控从一个端点到另一个端点的所有流量。
SASE通过额外的网络功能层以及底层云原生安全架构提供简化的管理和操作、降低成本以及提高的可视性和安全性。
软件定义边界(SDP)通常在更广泛的零信任策略中实施,它是一种基于软件而非硬件的网络边界,是传统VPN解决方案的有效替代品。它允许使用MFA来划分网络,但也支持允许限制特定用户访问的规则。
一旦检测到可疑行为,SDP还可以更轻松地阻止对资源的访问,隔离潜在威胁,最大限度地减少攻击造成的损害,并在出现误报的情况下保持生产力,而不是完全禁用设备并使用户无法进行任何有意义的工作。
SDP的软件定义方面还实现了自动化,允许网络中的其他工具在识别出危险行为时与SDP交互并实时缓解这些风险。在网络攻击智能化和自动化时代,SDP的自动化能力显得尤为重要。
VPN依靠以路由器为中心的模型来在网络中分配控制功能,其中路由器根据IP地址和访问控制列表(ACL)路由流量。然而,软件定义广域网(SD-WAN)依靠软件和集中控制功能,可以根据组织的需要根据优先级、安全性和服务质量要求处理流量,从而引导WAN中的流量。
随着边缘计算在企业网络中的占比越来越高,SD-WAN显得尤为重要。SD-WAN可以动态管理这些分散的连接,而无需使用数百或数千个需要VPN连接或防火墙规则的传感器(其中许多部署在不太安全的位置)。
与通常只需要密码的传统VPN相比,采用全面验证流程来确认登录尝试有效性的解决方案提供了更高的保护。借助身份和访问管理(IAM),网络管理员可以确保每个用户都具有授权访问权限,并且可以跟踪每个网络会话。
IAM不仅是VPN的替代方案,也是保护应用程序和服务的可行解决方案,也是本文中许多其他解决方案的基础。简化的身份和身份验证策略管理增强了使用它进行身份验证的每个系统,并且在适当的情况下利用基于风险的身份验证和MFA增强安全性。
Forrester高级分析师Andrew Hewitt表示,通过统一端点管理(UEM)工具进行有条件访问可以提供无VPN的体验,即在设备上运行的代理将在允许某人访问特定资源之前评估各种条件。“例如,该解决方案可以评估设备合规性、身份信息和用户行为,以确定该人是否确实可以访问企业数据。通常,UEM提供商会与ZTNA提供商集成以增加保护。”
Hewitt指出,虚拟桌面基础架构(VDI)或桌面即服务解决方案“本质上是从云端(或本地服务器)传输计算,因此设备上不会存在任何本地数据。”他补充道,有时组织会将其用作VPN的替代方案,但仍需要在设备级别进行检查以及用户身份验证以保护访问。“不过,这样做的好处是,与传统VPN不同,VDI不会将任何数据从虚拟会话复制到本地客户端。”
安全Web网关(SWG)可保护本地或私有云中托管的Web应用程序。虽然SWG是SASE架构的一个组成部分,但也可以独立于整体SASE策略实施,以实施围绕身份验证、URL过滤、数据丢失预防的策略,甚至可以防止恶意软件通过连接。
SWG通常与业务线应用直接连接,在某些情况下,也可以在本地网络中安装软件代理来与应用或服务连接。这种灵活性使SWG成为一种简单的选择,可以改善企业的安全状况,而无需对架构进行重大更改。
云访问安全代理(CASB)是SASE的一个组件,可独立部署以补充或替代VPN的需求。CASB能够在最终用户和SaaS应用程序之间实施安全策略(身份验证要求、加密配置、恶意软件检测、托管/非托管设备访问等)。虽然此用例不符合VPN替代品的定义(需要访问本地公司资源),但它确实取代了一些传统上只能通过中央控制点引导用户才能实现的企业控制,是一种常见的VPN用例。