IT-säkerhet Teknik

VPN eller inte VPN?

Under de senaste åren har VPN (Virtual Private Network)-sårbarheter varit i rampljuset och pratats om överallt. Det finns alltid sårbarheter som missbrukas av opportunister och cyberkriminella men VPN-tjänster är fortfarande den vanligaste lösningen för fjärråtkomst. Den största risken ligger i hur VPN fungerar och det har inte förändrats på 20 år; VPN utökar gränsen till användaren/enheten och ansluter dem som om de befinner sig fysiskt i nätverket. Säkerheten i lösningen är tagen för given vilket utgör ett problem. I den uppkopplade värld vi lever i med många enheter och användare som ansluter hela tiden, vem/vad ska vi lita på?

Zero Trust + VPN= Säkert

Zero Trust blir allt vanligare på grund av överexponeringar och de breda attackytor som de äldre teknikerna tillåter. Med Zero Trust verifieras användaren och först därefter ansluts denne till nätverket, något som en VPN aldrig har utformats för att göra. VPN bör fortfarande användas men åtgärder måste vidtas för att säkerställa en säker VPN-konfiguration. Det rekommenderas starkt att undersöka tillgängliga säkerhetsrekommendationer från myndigheter om hur du hanterar din VPN-fjärråtkomstteknik.

Följande rekommendationer är en bra början:

  • Se till att dina VPN-lösningar är patchade och uppdaterade, både på gateway- och klientsidan.
  • Se till att VPN-konfigurationer inte har ändrats, inklusive SSH Authorization Key-filer.
  • Övervaka och analysera dina loggar regelbundet.
  • Se till att kontona du använder på din VPN-gateway är isolerade från dina domänautentiserade konton.
  • Lägg till multifaktorautentisering (MFA) i din VPN-lösning för att göra det svårare att bryta sig in via kontona.
  • Inkludera enhets-autentisering när användare autentiseras.
  • Om möjligt, begränsa portarna som exponeras av din VPN till endast de portar som behöver användas.
  • Aktivera delad tunnling (split tunneling) när användare är anslutna till nätverket så att externa nätverk inte exponeras direkt på de känsliga interna nätverken.
  • Stäng din VPN-anslutning i DMZ så att fullständig analys och inspektion kan ske.

Även om dessa råd är en bra början är de just bara det, en bra start. Attackerna ökar i volym varje dag vilket gör det tydligt att en VPN på egen hand inte längre räcker. Safe-T levererar en lösning som heter ZoneZero som låter dig lägga till en högre säkerhetsnivå i din befintliga infrastruktur för att förbättra din VPN, möjliggöra äkta multifaktor och kontinuerlig autentisering till dina servicesessioner samt autentisera enskilda sessioner vid användning. ZoneZero uppnår detta klientlöst med sömlös integration i din infrastruktur med en implementationstid vanligtvis på ett par timmar.

Zero Trust och MFA

En av de viktigaste åtgärderna som nämns ovan handlar om att lägga till MFA i dina VPN-lösningar för att förbättra er säkerhet. Detta är viktigt för att skydda alla dina applikationer, samt både äldre och nya tjänster. De flesta, om inte alla, äldre applikationer är inte MFA-redo. När du väljer en MFA är du vanligtvis bara begränsad till en MFA eftersom den är bunden till din IdP. ZoneZero förbättrar MFA vilket gör det till riktig multifaktorautentisering så att du kan använda den med alla dina applikationer och tjänster (de som stöder MFA och de som inte gör det). Den kan användas oavsett var tjänsterna eller användarna finns. MFA kan tillämpas när du väljer att använda den och inte bara i början av en session, utan ger kontinuerlig autentisering.

Zero Trust Network Access

Dessutom vill du minska din attackyta inom din IT-infrastruktur genom att endast exponera tjänster när de används av auktoriserade användare. Detta görs genom att man antar en "least access privilege" modell och strikt tillämpar åtkomstkontroll där all trafik loggas och inspekteras för att säkerställa att alla resurser nås säkert oavsett var de befinner sig. Detta är Zero Trust Network Access (ZTNA), ett tillvägagångssätt som betraktar all trafik som ett hot om inte motsatsen bevisats (dvs. allt börjar med zero-trust). Detta förhindrar de flesta risker som du vanligtvis möter i en IT-miljö och gör att du kan uppnå en högre grad av flexibilitet.

Att anta en modell med least-access privilege och att strikt genomdriva åtkomstkontroll medan du inspekterar och loggar all trafik för att säkerställa att alla resurser är säkert åtkomliga oavsett plats kan uppnås med ZoneZeros ZTNA-lösning.

Har du en fråga eller vill veta mer så är du välkommen att kontakta oss

Läs mer om Zero Trust Network Access

 

Andrew Thomson

Andy is a tech enthusiast and has worked in the IT space for 20 years. He has a primary interest in security and enjoys helping people solve problems.

andrew.thomson@inuit.se

Prenumerera på bloggen

Håll koll på senaste nytt genom att prenumerera. Vi levererar nyheterna direkt i din inkorg!