专家称限制用户VPN访问可以帮助企业执行安全与BYOD政策,同时减少风险。
有句流传已久的谚语:“进攻是最好的防御”。它适用于很多语境和学科,从军事到法律到体育等等。但这并不意味着它是普遍适用的,尤其是当它涉及到VPN接入的时候。
在当今不断遭受围攻的网络管理员清楚的知道,有太多的潜在漏洞潜伏在他们的组织里,因此需要在这些漏洞发生之前预测并攻击掉每一个单一的威胁。
尤其是鉴于自备设备(BYOD)和远程办公正处于一个上升的趋势,网络管理员正在失去直接监督潜在有害的员工行为的机会。一直保持攻击不是一个可持续的发展战略,并且它也并非总是成功的,即使是在短期内。
那么,对于关注安全的远程VPN接入的网络管理员来说,什么才是最好的防御战略呢?为了防止员工有更改设置的机会,关键一点就是要能够预配置并且锁定VPN参数。预先采取这些积极的措施能够将网络管理员从每次追赶流氓员工以及当网络被攻破的时候加固网络中解救出来。
远程工作案例
每当谈及BYOD的话题时,它的两个主要的好处往往同时被提及:方便(对于员工)以及节省成本(对于雇主)。这也是为什么,到2018年,BYOD被期望跨越一个重要的基点--用于商业用途的员工自有设备将会两倍于企业自有设备。
与过去不同的是,今天的员工能够从无数的潜在脆弱的访问点以及可能并非完全安全的移动设备上远程访问公司的网络,使得锁定网络对于IT部门带来更多的挑战。通过部署VPN,告诉用户,“这是我们的安全策略”,然后就希望他们去执行是不够的。
限制用户行为以降低风险
对于没有能力预配置VPN和锁定参数的网络管理员来说,用户可以更改VPN接入配置和设置,通常最终的结果是--这也无需奇怪--对网络造成危害,无论是通过一个管理员不知道的长期的脆弱性还是一个直接快速的攻击。
为什么网络管理员不去预配置VPN并且锁定参数呢?通常,网络管理员是如此渴望部署VPN客户端--允许用户远程接入到公司网络--以致于他们没有对不以一种安全策略的方式去配置VPN会造成的后果进行充分的思考。他们或许甚至不知道预配置并且锁定参数--用户不能更改的设置--是可选项。
网络管理员面临的另一种不足就是选择一种不提供预配置和锁定参数可选项的VPN客户端。或者,他们会选择一种不支持远程接入策略的VPN产品,因为他们已经有了。举例来说,如果一个公司的政策规定所有的网络流量必须经过一个安全的VPN,那么这个平台就必须具备功能性和灵活性以支持该政策。
作者:Julian Weinberger
来源:51CTO