آیا VPN ها امنیت موثری را برای مشاغل فراهم می کنند؟

شبکه خصوصی مجازی (VPN) یک سرویس امنیتی اینترنتی است که به کاربران اجازه می‌دهد به اینترنت دسترسی داشته باشند، انگار که به یک شبکه خصوصی متصل هستند. VPN ها از رمزگذاری برای ایجاد یک اتصال امن روی زیرساخت اینترنت ناامن استفاده می کنند.

VPN یکی از راه های محافظت از داده های شرکت و مدیریت دسترسی کاربران به آن داده ها می باشد. VPN  هنگام تعامل کاربران با برنامه ها و ویژگی های وب از طریق اینترنت از داده ها محافظت می کند و می تواند منابع خاصی را پنهان نگه دارند. آنها معمولاً برای کنترل دسترسی استفاده می شوند . با این حال، راه حل های دیگر مدیریت هویت و دسترسی  (IAM) نیز می توانند به مدیریت دسترسی کاربر کمک کنند.

VPN مخفف عبارت Virtual Private Network است که به عنوان یک شبکه خصوصی مجازی، امنیت، حریم خصوصی و آزادی شما را ‌در سازمان هنگام فعالیت در اینترنت افزایش می‌دهد. تمامی ترافیک اطلاعات شما از طریق یک تونل مجازی رمزگذاری شده ارسال می‌شود. این رمزگذاری باعث می‌شود تا هکرها و افراد سودجو نتوانند به اطلاعات سازمانی شما دسترسی داشته باشند.

VPN یک ارتباط نقطه به نقطه را بین دستگاه شما و شبکه جهانی اینترنت برقرار می کند و به کاربر اجازه می‌دهد تا از رایانه شخصی خود، با استفاده از پروتکل‌های تونلینگ (‌Tunneling)، به رایانه دیگری دسترسی پیدا کند. به منظور محافظت از داده‌های سازمانی خود و جلوگیری از ردیابی اطلاعات در هنگام انتقال‌، ترافیک اغلب با پروتکل‌های رمزنگاری شبکه مانند SSH یا IPsec رمزگذاری می‌شود.

VPN : virtual private network

VPN ها چگونه به امنیت داده ها کمک می کنند؟

رمزگذاری روشی برای به هم زدن نظم داده ها می باشد، به نحوی که فقط اشخاص مجاز می توانند اطلاعات را درک کنند. داده‌های قابل خواندن را می‌گیرد و آن‌ها را طوری تغییر می‌دهد که برای مهاجمان یا هرکس دیگری که آن‌ها را رهگیری می‌کند تصادفی به نظر برسد. به این ترتیب، رمزگذاری مانند یک «کد مخفی» است.

VPN با ایجاد اتصالات رمزگذاری شده بین دستگاه ها کار می کند. (VPN ها اغلب از پروتکل های رمزگذاری IPsec یا SSL/TLS استفاده می کنند.) همه دستگاه هایی که به VPN متصل می شوند کلیدهای رمزگذاری را راه اندازی می کنند و از این کلیدها برای رمزگذاری و رمزگشایی تمام اطلاعات ارسال شده بین آنها استفاده می شود. این فرآیند ممکن است مقدار کمی تاخیر را به اتصالات شبکه اضافه کند که باعث کند شدن ترافیک شبکه می شود.

رمزگذاری در ساختار VPN باعث می شود که اتصالات VPN حتی اگر در زیرساخت های عمومی اینترنت گسترده شوند، باز هم خصوصی باقی بمانند. تصور کنید آلیس از خانه کار می کند و به VPN شرکتش متصل می شود تا بتواند به پایگاه داده شرکتی که در سروری در فاصله 100 مایلی ذخیره شده است دسترسی پیدا کند. فرض کنید تمام درخواست‌های او به پایگاه داده و همچنین پاسخ‌های پایگاه داده از طریق یک نقطه تبادل اینترنت میانی (IXP) انجام می‌شود. حال فرض کنید که یک مجرم مخفیانه به این IXP نفوذ کرده است و تمام داده های عبوری را زیر نظر دارد (مثلا ضربه زدن به خط تلفن). داده های آلیس هنوز به دلیل VPN امن هستند. تنها چیزی که مجرم می تواند ببیند نسخه رمزگذاری شده داده ها است.

VPN ها چگونه به کنترل دسترسی کمک می کنند؟

تصور کنید دو سرور دریک ساختمان اداری وجود دارد: Server A و Server B از WiFi استفاده نمی کند، بنابراین همه دستگاه ها باید از کابل های اترنت برای دسترسی به شبکه استفاده کنند. سرور A به طور فیزیکی از طریق کابل ها و روترها به شبکه ای از دستگاه ها که شامل رایانه های رومیزی و چاپگر اداری است متصل می شود.

هر کسی که به طور فیزیکی به شبکه سرور A متصل نباشد، نمی‌تواند با سرور A ارتباط برقرار کند، و همین امر در مورد سرور B نیز صدق می‌کند. اگر کاربری بخواهد سندی را که در سرور A ذخیره شده است از طریق چاپگر اداره چاپ کند، باید کامپیوتر خود را به شبکه صحیح وصل کند ، تا بتواند به سرور A و چاپگر دسترسی داشته باشد.همینطور اگر می خواهد سندی را از سرور B بازیابی کند، باید به آن شبکه نیز متصل شود.

VPN ها نیز به روشی مشابه کار می کنند، با این تفاوت که شبکه به جای فیزیکی ، مجازی است. همانطور که کاربر نمی تواند به سرور A متصل شود مگر اینکه به شبکه وصل شود، کامپیوتر نیز نمی تواند به منبعی که در پشت VPN قرار دارد متصل شود مگر اینکه به آن VPN متصل شود. اگر یک سازمان به جای کابل‌ها و روترهای فیزیکی از WiFi و VPN استفاده می‌کرد، کاربر برای اتصال به سرور A باید به VPN A وارد شود. به همین ترتیب، برای دسترسی به سرور B باید به VPN B متصل شود.

از آنجایی که VPN ها به این شکل کار می کنند، بسیاری از شرکت ها از آنها برای کنترل دسترسی استفاده می کنند. به عبارت دیگر، برای کنترل اینکه کدام کاربران به کدام منابع دسترسی دارند. یک شرکت چندین VPN مختلف را راه اندازی می کند و هر VPN به منابع داخلی مختلفی متصل می شود. با اختصاص دادن کاربران به این VPN ها، کاربران مختلف می توانند سطوح مختلفی از دسترسی به داده ها را داشته باشند.

کنترل و مدیریت دسترسی برای حفاظت و امنیت داده های شرکت بسیار مهم است. بدون کنترل دسترسی، کاربران غیرمجاز می‌توانند داده‌های محرمانه را مشاهده یا تغییر دهند، که منجر به نقض اطلاعات می‌شود.

معایب استفاده از VPN برای کنترل دسترسی چیست؟

  • تنها نقطه شکست.

مهاجمان نمی توانند ترافیک رمزگذاری شده با VPN را از خارج از VPN نظارت کنند. اما اگر بتوانند به VPN متصل شوند، به هر منبع متصل به آن شبکه دسترسی پیدا می کنند. فقط یک حساب یا دستگاه در معرض خطر برای مهاجم لازم است تا به داده های دارای دروازه VPN دسترسی پیدا کند.

چنین وضعیتی اغلب به عنوان مدل «قلعه و خندق» شناخته می شود. به قلعه ای فکر کنید که توسط یک خندق محافظت می شود. هر نیروی مهاجمی که به دنبال قلعه می رود توسط خندق خارج می شود، اما زمانی که آنها از خندق عبور کنند، کل قلعه در خطر است. با رویکرد VPN به امنیت، “خندق” از حساب های VPN داخلی کاربران تشکیل شده است. اگر یک مهاجم اعتبار ورود کاربر را بدزدد، می‌تواند VPN را نقض کند و از خندق عبور کرده و به تمام داده‌های متصل دسترسی پیدا کند.

امنیت زیروتراست چارچوبی برای کنترل دسترسی است که هدف آن جایگزینی رویکرد قلعه و خندق با استراتژی ایمن تر است که در آن هیچ کاربری به طور پیش فرض قابل اعتماد نیست.

  • مدیریت دشوار  VPN ها 

مدیریت استفاده از چندین VPN در مقیاس بزرگ دشوار است. در سازمان‌های بزرگ، تعداد زیادی از کاربران مختلف به انواع مختلفی از دسترسی نیاز دارند که تیم‌های فناوری اطلاعات مجبور می‌شوند تا VPN‌های زیادی را راه‌اندازی و نگهداری کنند، و یا از کاربران بخواهند که به طور همزمان به چندین VPN وارد شوند، که ناخوشایند است و می‌تواند تاثیر منفی بر عملکرد دستگاه و شبکه دارد.

  • VPNها گرانول نیستند.

VPN ها به خوبی از عهده باز کردن دسترسی همزمان تعداد زیادی از کاربران بر می آیند. با این حال، در عمل، تیم‌های فناوری اطلاعات اغلب نیاز دارند تا مجوزها را برای کاربران شخصی تنظیم کنند: یک کارمند باید به پایگاه کد دسترسی داشته باشد، یکی باید به پایگاه کد و سیستم مدیریت محتوا (CMS) دسترسی داشته باشد، یکی نیاز به دسترسی به هر دوی آنها به علاوه اتوماسیون بازاریابی دارد. پلتفرم، فقط به CMS نیاز دارد و غیره.

راه‌اندازی VPN اختصاصی هر کارمند هزینه‌بر، عملکرد کند و بسیار دشوار است. برای مدیریت دسترسی در سطح کاربر به رویکردی متفاوت و دقیق تر نیاز دارد.