長(zhǎng)期以來(lái)VPN都是遠(yuǎn)程安全訪問(wèn)的首選技術(shù)，然而，隨著遠(yuǎn)程/混合辦公的普及和常態(tài)化，傳統(tǒng)VPN在應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境和新型安全威脅方面顯得力不從心，暴露出諸多致命缺陷。本文將介紹未來(lái)幾年最熱門(mén)的九種VPN替代技術(shù)。

VPN在大規(guī)模遠(yuǎn)程辦公中的應(yīng)用顯現(xiàn)出種種局限性，包括：

• 攻擊面擴(kuò)大：VPN連接將用戶(hù)所在的不安全網(wǎng)絡(luò)擴(kuò)展到企業(yè)網(wǎng)絡(luò)，增加了攻擊的可能性。

• 加密能力有限：VPN通常只加密傳輸流量，缺乏全面的安全堆棧支持。

• 用戶(hù)認(rèn)證薄弱：許多VPN未強(qiáng)制實(shí)施多因素認(rèn)證（MFA），易于被入侵。

• 漏洞頻發(fā)：例如SonicWall SSLVPN和Pulse Secure VPN多次被發(fā)現(xiàn)嚴(yán)重漏洞，成為攻擊目標(biāo)。

著名的殖民地管道（Colonial Pipeline）勒索攻擊正是利用了泄漏的VPN設(shè)備用戶(hù)名和密碼，導(dǎo)致網(wǎng)絡(luò)被完全控制。

傳統(tǒng)VPN的風(fēng)險(xiǎn)和缺點(diǎn)已經(jīng)非常明確，企業(yè)有必要對(duì)VPN的替代技術(shù)方案進(jìn)行戰(zhàn)略性投資，并在考慮替代遠(yuǎn)程訪問(wèn)解決方案時(shí)評(píng)估一些關(guān)鍵因素。最重要的是包括零信任原則：要求每次連接嘗試都進(jìn)行強(qiáng)身份驗(yàn)證、評(píng)估合規(guī)性、實(shí)施最小特權(quán)以及在每次嘗試訪問(wèn)公司數(shù)據(jù)或服務(wù)時(shí)建立可信連接。

選擇VPN替代技術(shù)方案另一個(gè)關(guān)注重點(diǎn)是支持現(xiàn)代管理。集中化管理是第一步，自動(dòng)化功能（例如補(bǔ)丁管理、策略（身份驗(yàn)證、加密、風(fēng)險(xiǎn)評(píng)分等）以及與安全堆棧其他組件的集成）則可減輕現(xiàn)代風(fēng)險(xiǎn)和攻擊媒介。

以下是九種VPN替代技術(shù)的詳細(xì)解析，不僅列出其核心功能，還探討了實(shí)際應(yīng)用場(chǎng)景及實(shí)施中的關(guān)鍵考慮，為企業(yè)提供更豐富的安全解決方案：

零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)本質(zhì)上是對(duì)網(wǎng)絡(luò)上的應(yīng)用程序和數(shù)據(jù)的代理訪問(wèn)。在授予訪問(wèn)權(quán)限之前，用戶(hù)和設(shè)備會(huì)接受質(zhì)詢(xún)和確認(rèn)。

零信任方法可以執(zhí)行VPN的基本功能，例如授予對(duì)某些系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)權(quán)限，但通過(guò)最小特權(quán)訪問(wèn)、身份驗(yàn)證、就業(yè)驗(yàn)證和憑證存儲(chǔ)增加了一層安全性。因此，如果攻擊者成功感染系統(tǒng)，損害僅限于該系統(tǒng)可以訪問(wèn)的內(nèi)容。零信任模型還可包括網(wǎng)絡(luò)監(jiān)控解決方案，以檢測(cè)可疑行為。

核心功能：

• 持續(xù)身份驗(yàn)證：對(duì)用戶(hù)和設(shè)備進(jìn)行多因素認(rèn)證（MFA）。

• 最小權(quán)限原則：限制用戶(hù)訪問(wèn)，僅授予完成任務(wù)所需的最低權(quán)限。

• 動(dòng)態(tài)訪問(wèn)控制：實(shí)時(shí)分析風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)級(jí)別調(diào)整訪問(wèn)權(quán)限。

應(yīng)用場(chǎng)景：

• 分布式團(tuán)隊(duì)：幫助跨國(guó)公司保護(hù)分布式員工的訪問(wèn)。

• 敏感數(shù)據(jù)環(huán)境：如金融機(jī)構(gòu)的客戶(hù)數(shù)據(jù)訪問(wèn)控制。

實(shí)施重點(diǎn)：

• 需要集成現(xiàn)有身份管理系統(tǒng)（如Active Directory）。

• 配置詳細(xì)的訪問(wèn)策略，減少誤報(bào)對(duì)用戶(hù)體驗(yàn)的影響。

在零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)模型中，每個(gè)用戶(hù)和設(shè)備在允許訪問(wèn)之前都會(huì)經(jīng)過(guò)驗(yàn)證和檢查，不僅在網(wǎng)絡(luò)級(jí)別，而且在應(yīng)用程序級(jí)別。然而，零信任只是解決問(wèn)題的一部分，無(wú)法監(jiān)控從一個(gè)端點(diǎn)到另一個(gè)端點(diǎn)的所有流量。

SASE通過(guò)額外的網(wǎng)絡(luò)功能層以及底層云原生安全架構(gòu)提供簡(jiǎn)化的管理和操作、降低成本以及提高的可視性和安全性。

核心功能：

• 網(wǎng)絡(luò)與安全功能融合：包括SD-WAN、云原生防火墻（FWaaS）和DNS保護(hù)。

• 云原生架構(gòu)：提高網(wǎng)絡(luò)性能，降低硬件部署成本。

• 全局覆蓋：通過(guò)分布式數(shù)據(jù)中心實(shí)現(xiàn)全球用戶(hù)的安全訪問(wèn)。

應(yīng)用場(chǎng)景：

• 全球業(yè)務(wù)擴(kuò)展：幫助企業(yè)在多個(gè)國(guó)家快速部署安全遠(yuǎn)程連接。

• 遠(yuǎn)程學(xué)習(xí)平臺(tái)：保護(hù)學(xué)生和教職工的數(shù)據(jù)隱私。

實(shí)施重點(diǎn)：

• 確保不同組件的互操作性，如ZTNA、SWG與CASB的無(wú)縫整合。

• 選擇具備高可用性的SASE供應(yīng)商，保障關(guān)鍵業(yè)務(wù)連續(xù)性。

軟件定義邊界(SDP)通常在更廣泛的零信任策略中實(shí)施，它是一種基于軟件而非硬件的網(wǎng)絡(luò)邊界，是傳統(tǒng)VPN解決方案的有效替代品。它允許使用MFA來(lái)劃分網(wǎng)絡(luò)，但也支持允許限制特定用戶(hù)訪問(wèn)的規(guī)則。

一旦檢測(cè)到可疑行為，SDP還可以更輕松地阻止對(duì)資源的訪問(wèn)，隔離潛在威脅，最大限度地減少攻擊造成的損害，并在出現(xiàn)誤報(bào)的情況下保持生產(chǎn)力，而不是完全禁用設(shè)備并使用戶(hù)無(wú)法進(jìn)行任何有意義的工作。

SDP的軟件定義方面還實(shí)現(xiàn)了自動(dòng)化，允許網(wǎng)絡(luò)中的其他工具在識(shí)別出危險(xiǎn)行為時(shí)與SDP交互并實(shí)時(shí)緩解這些風(fēng)險(xiǎn)。在網(wǎng)絡(luò)攻擊智能化和自動(dòng)化時(shí)代，SDP的自動(dòng)化能力顯得尤為重要。

核心功能：

• 邏輯隔離：基于身份而非網(wǎng)絡(luò)位置的訪問(wèn)控制。

• 動(dòng)態(tài)威脅隔離：檢測(cè)異?；顒?dòng)后自動(dòng)阻斷訪問(wèn)。

• 高度自動(dòng)化：通過(guò)機(jī)器學(xué)習(xí)實(shí)現(xiàn)實(shí)時(shí)調(diào)整和響應(yīng)。

應(yīng)用場(chǎng)景：

• 動(dòng)態(tài)工作場(chǎng)所：支持員工在不同地點(diǎn)工作，同時(shí)確保安全。

• 合作伙伴訪問(wèn)控制：限制外部合作伙伴的網(wǎng)絡(luò)訪問(wèn)權(quán)限。

實(shí)施重點(diǎn)：

• 與現(xiàn)有網(wǎng)絡(luò)工具集成，如SIEM（安全信息與事件管理）。

• 設(shè)計(jì)靈活的規(guī)則以平衡安全性與業(yè)務(wù)效率。

VPN依靠以路由器為中心的模型來(lái)在網(wǎng)絡(luò)中分配控制功能，其中路由器根據(jù)IP地址和訪問(wèn)控制列表(ACL)路由流量。然而，軟件定義廣域網(wǎng)(SD-WAN)依靠軟件和集中控制功能，可以根據(jù)組織的需要根據(jù)優(yōu)先級(jí)、安全性和服務(wù)質(zhì)量要求處理流量，從而引導(dǎo)WAN中的流量。

隨著邊緣計(jì)算在企業(yè)網(wǎng)絡(luò)中的占比越來(lái)越高，SD-WAN顯得尤為重要。SD-WAN可以動(dòng)態(tài)管理這些分散的連接，而無(wú)需使用數(shù)百或數(shù)千個(gè)需要VPN連接或防火墻規(guī)則的傳感器（其中許多部署在不太安全的位置）。

核心功能：

• 動(dòng)態(tài)流量管理：基于應(yīng)用優(yōu)先級(jí)和網(wǎng)絡(luò)條件優(yōu)化流量路由。

• 內(nèi)置安全：支持加密、身份驗(yàn)證和實(shí)時(shí)威脅檢測(cè)。

• 中央化管理：通過(guò)單一界面管理多個(gè)分支機(jī)構(gòu)網(wǎng)絡(luò)。

應(yīng)用場(chǎng)景：

• 工業(yè)物聯(lián)網(wǎng)（IIoT）：管理和保護(hù)大規(guī)模物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)。

• 多分支企業(yè)：如零售連鎖店或跨地區(qū)的倉(cāng)儲(chǔ)物流。

實(shí)施重點(diǎn)：

• 考慮對(duì)實(shí)時(shí)敏感應(yīng)用（如視頻會(huì)議）的服務(wù)質(zhì)量（QoS）需求。

• 定期更新軟件和配置以應(yīng)對(duì)新興威脅。

與通常只需要密碼的傳統(tǒng)VPN相比，采用全面驗(yàn)證流程來(lái)確認(rèn)登錄嘗試有效性的解決方案提供了更高的保護(hù)。借助身份和訪問(wèn)管理(IAM)，網(wǎng)絡(luò)管理員可以確保每個(gè)用戶(hù)都具有授權(quán)訪問(wèn)權(quán)限，并且可以跟蹤每個(gè)網(wǎng)絡(luò)會(huì)話。

IAM不僅是VPN的替代方案，也是保護(hù)應(yīng)用程序和服務(wù)的可行解決方案，也是本文中許多其他解決方案的基礎(chǔ)。簡(jiǎn)化的身份和身份驗(yàn)證策略管理增強(qiáng)了使用它進(jìn)行身份驗(yàn)證的每個(gè)系統(tǒng)，并且在適當(dāng)?shù)那闆r下利用基于風(fēng)險(xiǎn)的身份驗(yàn)證和MFA增強(qiáng)安全性。

核心功能：

• IAM：集中管理用戶(hù)身份驗(yàn)證與授權(quán)，支持風(fēng)險(xiǎn)評(píng)估和單點(diǎn)登錄（SSO）。

• PAM：保護(hù)高權(quán)限賬戶(hù)，支持密碼定期輪換和活動(dòng)監(jiān)控。

應(yīng)用場(chǎng)景：

• 高敏感性操作：保護(hù)IT管理員和關(guān)鍵系統(tǒng)賬戶(hù)。

• 合規(guī)要求嚴(yán)格的行業(yè)：如醫(yī)療行業(yè)的HIPAA合規(guī)。

實(shí)施重點(diǎn)：

• 配置與人工智能（AI）結(jié)合的動(dòng)態(tài)訪問(wèn)風(fēng)險(xiǎn)評(píng)估。

• 定期培訓(xùn)用戶(hù)以減少憑據(jù)濫用的可能性。

Forrester高級(jí)分析師Andrew Hewitt表示，通過(guò)統(tǒng)一端點(diǎn)管理(UEM)工具進(jìn)行有條件訪問(wèn)可以提供無(wú)VPN的體驗(yàn)，即在設(shè)備上運(yùn)行的代理將在允許某人訪問(wèn)特定資源之前評(píng)估各種條件。“例如，該解決方案可以評(píng)估設(shè)備合規(guī)性、身份信息和用戶(hù)行為，以確定該人是否確實(shí)可以訪問(wèn)企業(yè)數(shù)據(jù)。通常，UEM提供商會(huì)與ZTNA提供商集成以增加保護(hù)?！?/p>

核心功能：

• 條件訪問(wèn)：檢查設(shè)備狀態(tài)（補(bǔ)丁、加密、配置）以決定是否授予訪問(wèn)權(quán)限。

• 實(shí)時(shí)監(jiān)控：支持遠(yuǎn)程鎖定、數(shù)據(jù)擦除和威脅檢測(cè)。

• 全面兼容：涵蓋桌面、筆記本電腦、智能手機(jī)和平板電腦等多種設(shè)備。

應(yīng)用場(chǎng)景：

• 移動(dòng)辦公：適用于員工使用個(gè)人設(shè)備訪問(wèn)企業(yè)資源。

• 高頻設(shè)備更新：如零售店的POS系統(tǒng)。

實(shí)施重點(diǎn)：

• 確保與ZTNA或SASE等其他安全工具兼容。

• 明確用戶(hù)隱私政策，避免因設(shè)備管理而引發(fā)爭(zhēng)議。

Hewitt指出，虛擬桌面基礎(chǔ)架構(gòu)(VDI)或桌面即服務(wù)解決方案“本質(zhì)上是從云端（或本地服務(wù)器）傳輸計(jì)算，因此設(shè)備上不會(huì)存在任何本地?cái)?shù)據(jù)?！彼a(bǔ)充道，有時(shí)組織會(huì)將其用作VPN的替代方案，但仍需要在設(shè)備級(jí)別進(jìn)行檢查以及用戶(hù)身份驗(yàn)證以保護(hù)訪問(wèn)?！安贿^(guò)，這樣做的好處是，與傳統(tǒng)VPN不同，VDI不會(huì)將任何數(shù)據(jù)從虛擬會(huì)話復(fù)制到本地客戶(hù)端?！?/p>

核心功能：

• 數(shù)據(jù)隔離：所有操作都在虛擬環(huán)境中進(jìn)行，數(shù)據(jù)不存儲(chǔ)在本地。

• 中央化控制：簡(jiǎn)化補(bǔ)丁管理和安全策略實(shí)施。

• 靈活擴(kuò)展：可根據(jù)需求快速添加或移除用戶(hù)。

應(yīng)用場(chǎng)景：

• 敏感行業(yè)：如法律、保險(xiǎn)和醫(yī)療領(lǐng)域的客戶(hù)數(shù)據(jù)保護(hù)。

• 災(zāi)備環(huán)境：在災(zāi)難發(fā)生時(shí)快速恢復(fù)關(guān)鍵業(yè)務(wù)。

實(shí)施重點(diǎn)：

• 投資高性能的虛擬化平臺(tái)，保障用戶(hù)體驗(yàn)。

• 配置額外的訪問(wèn)控制以避免惡意用戶(hù)的破壞。

安全Web網(wǎng)關(guān)(SWG)可保護(hù)本地或私有云中托管的Web應(yīng)用程序。雖然SWG是SASE架構(gòu)的一個(gè)組成部分，但也可以獨(dú)立于整體SASE策略實(shí)施，以實(shí)施圍繞身份驗(yàn)證、URL過(guò)濾、數(shù)據(jù)丟失預(yù)防的策略，甚至可以防止惡意軟件通過(guò)連接。

SWG通常與業(yè)務(wù)線應(yīng)用直接連接，在某些情況下，也可以在本地網(wǎng)絡(luò)中安裝軟件代理來(lái)與應(yīng)用或服務(wù)連接。這種靈活性使SWG成為一種簡(jiǎn)單的選擇，可以改善企業(yè)的安全狀況，而無(wú)需對(duì)架構(gòu)進(jìn)行重大更改。

核心功能：

• URL過(guò)濾：基于策略阻止訪問(wèn)惡意網(wǎng)站。

• 數(shù)據(jù)丟失防護(hù)（DLP）：防止敏感信息通過(guò)Web渠道泄露。

• 威脅防護(hù)：檢測(cè)和阻止通過(guò)網(wǎng)絡(luò)傳輸?shù)膼阂廛浖?/p>

應(yīng)用場(chǎng)景：

• 遠(yuǎn)程訪問(wèn)：保護(hù)員工通過(guò)公共Wi-Fi訪問(wèn)企業(yè)應(yīng)用。

• 云應(yīng)用安全：為企業(yè)部署在私有或公有云上的服務(wù)提供防護(hù)。

實(shí)施重點(diǎn)：

• 與組織的SIEM和SOAR系統(tǒng)集成，增強(qiáng)事件響應(yīng)能力。

• 確保符合行業(yè)合規(guī)要求（如GDPR）。

云訪問(wèn)安全代理(CASB)是SASE的一個(gè)組件，可獨(dú)立部署以補(bǔ)充或替代VPN的需求。CASB能夠在最終用戶(hù)和SaaS應(yīng)用程序之間實(shí)施安全策略（身份驗(yàn)證要求、加密配置、惡意軟件檢測(cè)、托管/非托管設(shè)備訪問(wèn)等）。雖然此用例不符合VPN替代品的定義（需要訪問(wèn)本地公司資源），但它確實(shí)取代了一些傳統(tǒng)上只能通過(guò)中央控制點(diǎn)引導(dǎo)用戶(hù)才能實(shí)現(xiàn)的企業(yè)控制，是一種常見(jiàn)的VPN用例。

核心功能：

• 統(tǒng)一策略管理：監(jiān)控用戶(hù)與云服務(wù)之間的互動(dòng)。

• 設(shè)備可見(jiàn)性：區(qū)分受管理和未受管理設(shè)備。

• 實(shí)時(shí)威脅檢測(cè)：識(shí)別可疑行為并阻止惡意操作。

應(yīng)用場(chǎng)景：

• 多云管理：確保多云環(huán)境中的一致安全策略。

• SaaS應(yīng)用安全：如Salesforce、Office 365等企業(yè)級(jí)應(yīng)用。

實(shí)施重點(diǎn)：

• 配置詳細(xì)的策略以涵蓋多種設(shè)備和訪問(wèn)場(chǎng)景。

• 持續(xù)監(jiān)控用戶(hù)活動(dòng)，優(yōu)化訪問(wèn)權(quán)限。

參考鏈接：

https://www.csoonline.com/article/571379/7-vpn-alternatives-for-securing-remote-network-access.html