浅谈 VPN的重要性和VPN选择要点

虚拟专用网络 （VPN） 的企业选择过去非常简单。您必须在两种协议和少数供应商之间进行选择。那些日子已经一去不复返了。由于大流行，我们拥有比以往更多的远程工作者，他们需要更复杂的保护。随着乌克兰战争的继续，越来越多的人转向 VPN 以绕过俄罗斯和其他威权政府强加的封锁，例如Cloudflare 的 VPN 使用数据所示。

VPN 可能不是保护远程工作人员的完整答案。当有关 Okta 的最新黑客攻击和去年的 Colonial Pipeline 攻击的新闻报道都利用被盗的 VPN 凭据或当黑客找到进入 NordVPN、TorGuard 和 VikingVPN 的途径时，这无济于事。

当然，VPN也有其问题，例如缺乏保护端点网络、保护云计算时的盲点以及缺少多因素身份验证 （MFA） 控制。那篇文章提到了保护远程工作流程的其他几种策略，包括扩展零信任网络以及使用安全访问服务边缘工具、身份和访问管理以及虚拟桌面等产品的组合。

VPN对企业很重要的地方

VPN 仍然很有用，对于现代大部分偏远的工作场所来说可能是必不可少的。它们可以在以下四种情况下发挥作用：

保护公共（和家庭）网络上的数据不被中间人攻击截获。加密您的网络流量使中间商更难窥探和吸纳它。

保护您的智能手机不被跟踪，这是与上述问题不同的问题：大多数用户的手机上没有安装任何 VPN 软件。移动 VPN 产品与更安全的 DNS（如 Cloudflare 的 Warp）相结合，应该在所有企业用户的移动设备上。

作为常旅客的有用工具，尤其是当您前往专制政权或审查特定互联网目的地的国家时。或者，如果您需要支持偏远地区的用户，使用具有附近端点的 VPN 可能是有意义的。

防止您的私人数据泄露给您的 ISP，尽管您的 VPN 提供商如果没有像应有的那样勤奋，仍然可以获得这些信息。

最后一项需要更多解释，这也是 NordVPN 和其他公司受到更多审查的原因之一。可悲的是，消费者 VPN 提供商在其安全和隐私声明方面过度承诺和交付不足，做得很糟糕。许多人大肆宣传“军事级安全”和“100% 不泄露数据”。这些完全是胡说八道，因为没有通用的军事安全标准，每个 VPN 都会以某种方式在某个地方跟踪某些东西。另一个原因：一些 VPN 只不过是跟踪伪装成合法软件的应用程序。研究人员发现了快速嵌入各种 VPN 中的俄罗斯跟踪软件， 其中一些针对乌克兰用户。

Yael Grauer 与密歇根大学的一组安全研究人员合作。Grauer 发现，在团队测试的 16 种知名 VPN 服务中，有12 种夸大了它们可以提供多少保护。Grauer 的分析还描述了每个 VPN 泄露了哪些数据、它们保留客户日志的时间以及在分析业务 VPN 行为时可以使用的其他详细信息。如果您勤于使用加密电子邮件产品、连接到安全的 DNS 服务器、在我们所有的登录中使用复杂的密码和 MFA 并避免公共 Wi-Fi 热点，则其中一些用例可能会得到部分满足。这并不总是可能的，这就是为什么我们仍然需要 VPN 来保护我们的对话。

VPN 现场的明亮标志

由于大流行期间对 VPN 的广泛兴趣，它们正在变得越来越好，值得重新审视。VPN 的部分问题是忽略营销方面的胡说八道，深入研究该技术，并在您的安全堆栈中为 VPN 找到合适的位置。事实上，它们很有帮助，尤其是与可以加密互联网流量的软件定义安全基础设施结合使用时。让我们看看最近的几个趋势和其他发展，并为现代企业 VPN 部署提出一些建议。

［在这份免费的 CIO 路线图报告中了解 IT 如何利用 5G 的力量和前景。现在下载！］

首先，有更广泛的协议领域可供选择，使其更加灵活和吸引人。十多年前，只有两个：IPSec和SSL。从那时起，出现了更新的协议，旨在优化连接速度和整体更好的性能。例如，IETF 发布了 Internet 密钥交换 （IKE） 的 v2，它通过更快的重新连接改进了 IPSec 隧道，并内置在大多数当前端点操作系统中。许多企业 VPN 也支持 IKEv2，例如 Cisco 的 SSL AnyConnect 和瞻博网络的 VPN 产品。

OpenVPN有几个使用这个名称的项目——协议、VPN 服务器代码和各种客户端。它的协议在 SSL 的基础上进行了改进，并已被广泛采用，有几个专有版本供 Windscribe、Hotspot Shield、NordVPN 和 ExpressVPN 等消费者 VPN 供应商使用。IKEv2 和 OpenVPN 协议都可以使用具有 256 位加密密钥的 AES，这是现代标准。

然后是WireGuard，它有几个项目，包括一些消费者 VPN 也支持的协议，并提供自己的 VPN 服务器和客户端代码。它的支持者声称它比 OpenVPN 更快、更容易使用；你可以在 Linux v5.6 内核中找到它的一部分。

OpenVPN 和 WireGuard 还可以在任何 UDP（在 OpenVPN 的情况下为 TCP）端口上运行，从而使它们在国家行为者试图阻止所有 VPN 使用的情况下更具弹性。WireGuard 还设计用于在切换 VPN 服务器时保持连接。

OpenVPN 运动的一个副产品是消费者 VPN 更加关注开源。这很好，因为更多地关注代码意味着可以修复错误和数据泄漏，从而提高安全性。“开放性”有几个方面值得探索，因为消费者 VPN 提供商在其营销描述中对这个词的表述有些不准确。

询问 VPN 供应商的问题

供应商如何执行其安全审计（内部或通过中立的第三方），这些审计是如何发布的？特别是，审计可以揭示滥用数据隐私或泄露客户数据的 VPN，以及客户端和服务器代码库是否完全开放。

供应商如何发布有关各种执法互动的透明度报告？这些信息可以让企业安全经理大致了解过去披露了哪些信息，尽管这并不能保证他们将来会做什么。

其代码的哪些部分是开源的，哪些是专有的？这适用于客户端和服务器版本以及各种通信协议。虽然消费者 VPN 供应商已经转向使用开源，但大多数商业 VPN 供应商还没有。一个值得注意的例外是Perimeter 81，它结合了 VPN、防火墙、Web 网关和其他使用一些开源的安全工具。

VPN 如何与身份和安全基础设施产品集成？例如，Sonicwall 的 Mobile Connect 支持 Ping、Okta 和 OneLogin 身份提供商；F5 的 Big-IP Access Policy Manager 支持 FIDO U2F 令牌；Palo Alto Networks 的 Okyo Garde 与其 Prisma Access 安全边缘产品集成。如果您配置各种产品充分利用这些更安全的方法，这使得它们对商业用途更具吸引力。

最后，一个有趣的情况是基于区块链的分布式 VPN 基础设施的兴起。这是 VPN 的天然场所，可用于进一步混淆流量，并使其更难在分布式网络中进行跟踪（Tor 和 Onion 路由器以及 Napster 之前已经证明了这一点）。早期的领导者是来自 Sentinel.co 的基于 Android 的 dVPN。它们背后的概念是，类似区块链的基础设施可以证明 VPN 提供类似 SLA 的带宽和特定的加密级别，并且不会泄露任何私人数据。Sentinel 提供开源、跨平台的分布式 VPN 客户端，他们声称这些客户端具有弹性、安全性和高度可扩展性，并且可以内置到自定义应用程序中。