Cái chết của VPN: Bảo mật doanh nghiệp cần nền tảng mới

Được giới thiệu ra thị trường gần hai thập kỷ trước, công nghệ VPN dành cho doanh nghiệp đã được duy trì lâu dài. Hầu hết các tổ chức lớn vẫn sử dụng giải pháp VPN và nhiều người dường như dựa vào nó để cung cấp quyền truy cập từ xa an toàn. Đó là một vị trí hiếm thấy cho một công cụ không thay đổi về cơ bản trong 20 năm.

Khả năng của VPN để cung cấp cho nhân viên, khách hàng và bên thứ ba quyền truy cập từ xa vào bảo mật từ xa vào các ứng dụng nội bộ vẫn được coi là cần thiết trong thế giới doanh nghiệp ngày nay. Tuy nhiên, những gì đã từng là một tiện ích từ xa đơn giản và hiệu quả đã trở thành một giải pháp ngày càng kém hiệu quả và không an toàn khi được xem trong bối cảnh của các mạng hiện đại ngày nay. Người dùng di động, các chính sách và ứng dụng đám mây mang theo thiết bị của riêng bạn (BYOD) đang thử nghiệm các giới hạn của kiến ​​trúc dựa trên VPN truyền thống và không chắc chắn rằng các công cụ kế thừa như VPN doanh nghiệp sẽ tồn tại trong sự thay đổi công nghệ đang diễn ra.

Trước khi khám phá lỗi của họ, đáng để giải thích rằng VPN doanh nghiệp là các cổng cơ bản cho phép nhân viên truy cập tài nguyên nội bộ từ một địa điểm từ xa. Ở đây, kiểm soát truy cập hoạt động về cơ bản giống như trên thiết bị cục bộ: Mỗi công nhân được cấp thông tin đăng nhập với mức độ truy cập được xác định trước đối với các dịch vụ mạng.

Vấn đề là ở chỗ: điểm khác nhau giữa “internal” và “external” trong các doanh nghiệp hiện đại đang mờ nhạt khi các doanh nghiệp đối phó với số lượng ngày càng tăng của các nhà thầu, nhà cung cấp và nhà cung cấp bên thứ ba mà tất cả đều yêu cầu truy cập từ xa. Hơn nữa, tất cả đều yêu cầu quyền khác nhau. Giám sát các đặc quyền khác nhau này là khó khăn nhất, và điều đó làm cho một bề mặt tấn công mở rộng.

Việc di chuyển nhanh chóng các ứng dụng vào đám mây cũng là một cân nhắc quan trọng. Điều đó bao gồm cả môi trường dịch vụ phần mềm (SaaS) và cơ sở hạ tầng dưới dạng dịch vụ (IaaS). Do đó, chúng tôi không còn được bảo vệ bởi chu vi mạng an toàn với các điểm phân định rõ ràng.

Bảo mật VPN kế thừa vì nó không thể giải quyết thỏa đáng mức độ phức tạp này. Đó là một giải pháp phù hợp với một kích thước mà không tính đến chu vi doanh nghiệp linh hoạt ngày nay.

Chu vi càng rộng, rủi ro càng lớn

Trước đây, cuộc sống rất đơn giản: Chúng ta có các thiết bị thuộc sở hữu doanh nghiệp, có dây, truy cập các ứng dụng doanh nghiệp được xác định rõ ràng trong một dấu chân doanh nghiệp cố định. VPN hoạt động tốt ở đây – đặc biệt là trong các công ty có ít hơn một trăm nhân viên, không có người dùng bên thứ ba, không nâng cấp ứng dụng và không thay đổi vai trò thường xuyên.

Ngày nay, chúng tôi có nhiều thiết bị – cả doanh nghiệp và cá nhân – kết nối từ bất kỳ số lượng địa điểm nào đến tài nguyên của công ty. Người ta vẫn lầm tưởng rằng nếu một thiết bị thuộc về nhân viên và được xác thực với mạng LAN thì nên cho phép truy cập mạng, kể cả nếu thiết bị được kết nối từ xa qua VPN. Giả định này duy trì một mô hình chu vi truyền thống và lỗi thời trong đó vị trí của người dùng trên mạng xác định độ tin cậy và sự phù hợp của họ để truy cập vào tài sản cố định. Công nghệ chỉ đơn giản là thiếu khả năng thực thi các điều khiển chi tiết hoặc các quyền khác nhau mà các doanh nghiệp hiện đại yêu cầu.

Do đó, người dùng được ủy quyền kết nối với mạng thông qua VPN vốn đã được cấp một mức truy cập gần như luôn luôn vượt quá mức tối thiểu cần thiết. Điều đó có nghĩa là ngay cả một mạng được thiết kế tốt và được phân đoạn sẽ để lại một loạt các tài nguyên mạng hiển thị cho những kẻ tấn công nếu chúng thỏa hiệp một trong những kết nối này.

Kịch bản đó không chỉ là lý thuyết: Sự vượt quá quyền truy cập cơ bản này đã bị những kẻ tấn công tận dụng bằng cách này hay cách khác trong nhiều lần vi phạm thành công. Chỉ trong một ví dụ cao cấp, đại gia bán lẻ Lord & Taylor và Saks Fifth Avenue đã tuyên bố vào đầu năm 2018 rằng các cửa hàng của họ đã bị vi phạm dữ liệu thẻ tín dụng lớn được cho là đã xâm phạm thông tin của 5 triệu khách hàng.

Mặc dù một vài chi tiết được đưa ra liên quan đến vectơ tấn công, New York Times báo cáo rằng cuộc tấn công có thể được bắt đầu bởi một trò lừa đảo được gửi đến nhân viên của công ty cổ phần của các cửa hàng. Các trạm của người dùng bị xâm nhập sau đó đã được sử dụng để xâm nhập vào môi trường mạng hơn nữa. Như với phần lớn phần mềm độc hại, điều này có thể được ngăn chặn bằng cách xóa, hòa giải hoặc xác thực thêm quyền truy cập của người dùng cuối. Đó là quản lý đặc quyền cơ bản.

Nhiều tổ chức chỉ đơn giản là không tính đến việc 40% các vi phạm bắt nguồn từ việc người dùng được ủy quyền truy cập vào các phần trái phép của mạng. Trong những trường hợp như vậy, việc tiếp tục tập trung vào xác thực di sản và một giả định về độ tin cậy ở cấp độ mạng không có ý nghĩa gì.

Một cách tốt hơn

Các tập đoàn không còn định hướng xung quanh các chi nhánh, người dùng tại chỗ và trung tâm dữ liệu nội bộ. Vì vậy, khi chu vi trở nên ít rõ ràng hơn, các cơ chế truy cập mạng không được thiết kế xung quanh người dùng và các tài nguyên cụ thể mà họ cần để đạt được.

Một kiến trúc zero-trust cung cấp một mô hình thay thế có thể ngăn chặn người dùng “trust” từ tiếp cận quá mức vào một mạng, đơn giản chỉ vì không có người dùng tin cậy trên mạng để bắt đầu với.

Cách tiếp cận này dựa trên một số công nghệ và khái niệm để tạo thành một giải pháp bao quát. Ví dụ, chu vi được xác định bằng phần mềm (SDP) và phân đoạn vi mô cung cấp khả năng cách ly và kiểm soát mạng được cải thiện. Các quyết định truy cập được chuyển từ lớp mạng tập thể sang lớp ứng dụng chi tiết hơn, nơi chúng được thực hiện dựa trên thông tin cụ thể của người dùng. Các quyền sau đó được phân xử theo từng trường hợp cụ thể, dựa trên sự hiểu biết có căn cứ về danh tính của người đó và mức độ truy cập tối thiểu mà người đó yêu cầu.

Chuyển đổi sang mô hình truy cập này cũng thường có nghĩa là sử dụng proxy nhận dạng nhận dạng (IAP) để đảm bảo rằng người dùng đăng nhập không chỉ được xác thực một lần mà còn được xác minh liên tục và các hoạt động của họ được kiểm tra các bất thường về hành vi trong thời gian thực. Khi người dùng cố gắng sử dụng một ứng dụng, họ sẽ được xem xét về danh tính, trạng thái bảo mật của thiết bị và địa chỉ IP và các khóa bảo mật được sử dụng để xác thực thêm cho người dùng và ngăn chặn việc chiếm đoạt tài khoản.

Sau đó, các nhóm bảo mật có thể dựa vào SaaS, các ứng dụng gốc trên đám mây để hợp lý hóa quyền truy cập của nhân viên mà không cấp quyền truy cập vào các khu vực mạng đặc quyền mà người dùng không cần phải xem. Điều này cho phép người dùng cuối nhận được quyền truy cập từng trường hợp cụ thể vào các ứng dụng riêng được ánh xạ tới danh tính của họ.

Cái chết của VPN doanh nghiệp?

Nhiều doanh nghiệp vẫn dựa vào VPN để cung cấp cho người dùng đặc quyền hoặc các bên ngoài truy cập vào cơ sở hạ tầng quan trọng – mặc dù để bảo mật trong một doanh nghiệp hiện đại, VPN có thể bị thiếu. Việc thực hành có thể tồn tại ở một mức độ nào đó trong nhiều năm tới, nhưng chu vi ngày càng tăng và những thách thức bảo mật phức tạp có nghĩa là VPN doanh nghiệp khó có thể tồn tại lâu hơn trong lần lặp hiện tại của nó như là nền tảng của công nghệ truy cập doanh nghiệp. Thay vào đó, nó sẽ chỉ tồn tại như một tiện ích hạn chế trong tương lai, chỉ đại diện cho một phần của mô hình truy cập mạng dựa trên đám mây được quản lý chính xác hơn – nếu nó tồn tại.