冠状病毒大流行导致无数人不得不呆在家里工作,大大增加了对VPN网关的依赖。
实际上,它们已成为关键的业务生命线,没有这些生命线,员工将无法访问允许他们完成工作的关键业务应用程序。但是,用户对VPN的高要求使其容易受到性能和安全问题的影响。
那么,企业如何改善VPN的性能和安全性?
以前,建立VPN支持策略来解决性能和访问问题可能只是涉及增加VPN容量和Internet链路带宽。但是,在当今的气候中,VPN不再是附加组件,而是至关重要的,这种方法还远远不够。
现在,IT团队需要增加访问权限以实现快速解决问题,从而使Internet访问可靠且安全,并且可以证明是如此。因此,VPN支持策略需要使IT团队能够对基本服务进行优先级排序,快速分析资源消耗并快速解决性能问题。
以下是一些改善VPN性能问题的提示:
实施现实的带宽配额
需要管理远程访问,以确保会话不会使用过多的带宽和吞吐量。为了防止这种情况,IT应在每个会话的带宽和吞吐量上实施合理的配额。为了使之有效,他们还需要确保终端容量,带宽和吞吐量可以根据需求扩展。
设置可接受的使用参数
尽管VPN对于远程工作的许多方面都是必不可少的,但并不是普遍需要的VPN,并且肯定不应该将其用于休闲目的。如果您不使用分割隧道,则尤其如此[请参阅下一点]。
禁止将VPN用于非商业用途,例如视频流平台和在线游戏,这显然是一个起点。但是,在企业内部使用时,员工可能不太清楚哪些企业应用程序需要使用VPN,哪些不需要VPN访问。因此,很重要的一点是,IT部门必须清楚地说明这一点,并传达和实施可接受的使用策略,以使员工不会在不知不觉中增加VPN的负担。
考虑使用分割隧道VPN
这些可以通过本地ISP引导所有非特定于公司域内的Internet流量,从而有助于减轻因使用VPN造成的某些压力。
使用正确的访问控制
并非所有VPN集中器都具有相同的网络策略,并且使用错误的访问控制可能会导致某些性能问题。例如,与基于IPSEC的远程访问VPN集中器相比,基于SSL / TLS的通用VPN集中器将具有不同的网络策略。幸运的是,这很容易解决,IT团队只需仔细检查是否已实施了正确的访问控制,如果没有,则更正错误。
充分利用地理位置分散的员工腰包
现在大多数员工都在家工作,因此集中式远程访问网络基础结构可能不再是最有效的策略。取而代之的是,公司员工分散在地理位置上,应该考虑将其远程访问基础设施区域化。 这可以帮助分配Internet访问和Intranet网络负载,而不是将所有需求都放在一个源上。这样做还可以增强抵御攻击能力和其他可能影响本地资源(而不是整个网络)的服务中断能力,从而提高安全性。
使用分析工具
可以使用网络可见性工具在数据包级别分析网络流量。这些产品可以在通用和精细级别上提供数据,从而使团队可以准确了解面向公众的网络基础架构。这样可以对问题进行准确的诊断,更好地分配带宽,并且可以吸引人们注意需要在何处构建特定的服务来缓解某些问题。
改善VPN性能需要与改善VPN安全同时进行,否则,这一至关重要的业务生命线仍将面临网络攻击的风险。确实,美国国土安全部和英国国家网络安全中心最近发表的联合声明发现,即使是最小的分布式拒绝服务(DDoS)攻击现在也对带宽饱和的网关构成了重大威胁。因此,要构建真正强大的VPN支持策略,IT团队必须 从一开始就将DDoS保护纳入其计划中。
以下是一些改善VPN安全问题的提示:
使用基于软件即服务(SaaS)的服务
内置保护是确保VPN安全的最佳方法,因此请充分利用已经提供此服务的提供商。大多数主要的SaaS提供商已经内置了DDoS保护,以维护其服务的可用性,因此请尽可能使用这些服务。例如,对于日常业务应用程序,内容共享,协作和通信。
遵循当前的最佳做法(BCP)
仔细检查他们是否使用了BCP,这是IT团队建立抵御网络基础设施,服务器和DNS等服务攻击的简便方法。IT团队的关键出发点应该是确保他们已经实施了智能的DDoS缓解系统,以确保针对所有面向公众的服务器,服务,应用程序,数据以及诸如远程访问技术之类的支持基础架构免受DDoS攻击。
使用专用的互联网链接
使用与面向公众的网站或DNS服务器等组件关联的链接可能会增加DDoS攻击或其他此类事件阻止IT部门快速响应的可能性。因此,对VPN使用专用的传输链路很重要,这样远程安全性才能尽可能有效且不受阻碍。
实施安全的用户访问
IT团队必须确保将远程访问机制与其组织的安全系统集成在一起,并且所有用户访问都需要使用多因素身份验证(MFA)技术。
避免使用明显的DNS名称
通过在VPN集中器的DNS资源记录中使用字符串“ vpn”,使攻击者不容易。相反,IT团队应该选择一种对他们有用的DNS命名约定,而不必将潜在的攻击者直接指向关键功能区域。
在家办公将留在这里,因此企业保护并确保其VPN网关的性能非常重要,以使其员工能够继续有效而安全地工作。
