super加速器官方

自 COVID-19 大流行以来，工作场所经历了从办公室到家庭的巨大转变，现在的组织比以往任何时候都更加分散。 这种向远程工作的转变使企业的网络安全计划变得更加复杂，但许多企业最关心的问题之一仍然是如何安全、私密地访问敏感的企业数据。 因此，自大流行病开始以来，企业对虚拟专用网络（VPN）的使用激增了 68%、根据 OpenVPN.

VPN 为企业提供了一种在员工和企业网络之间建立安全加密连接的方法，这样，企业外围的授权用户就可以访问关键数据。 由于企业 VPN 通常具有成本效益、相对易于部署和可扩展性，它们很快成为企业适应混合和远程工作的一种流行方式。 尽管如此，与其他任何网络安全工具一样，VPN 并不是放之四海而皆准的解决方案，也不是 "部署好就走 "的解决方案。 以下五项最佳实践将有助于确保贵组织的 VPN 和企业网络在不断增长的威胁环境中保持安全。

super加速器官方

在企业内部部署 VPN 的第一步是了解哪种类型的 VPN 最能满足企业的需求。 企业当前的员工规模、发展轨迹、IT 预算等都会影响其选择实施哪种类型的 VPN。

商务 VPN 通常有两种不同类型：远程访问 VPN 和站点到站点 VPN。 虽然这两类 VPN 的目的都是将企业员工连接到企业网络，但它们实现这一目的的方式略有不同。 远程访问 VPN 与消费 VPN 相似，都需要终端用户安装客户端。 然后，VPN 网关对用户进行身份验证，以便在用户和企业网络之间建立安全连接。

在家工作、经常出差或在公共区域使用公共网络工作的员工通常使用远程访问 VPN。 另一方面，站点到站点 VPN（或路由器到路由器 VPN）将不同地理站点（通常是不同的办公室）的局域网直接连接到企业局域网，以创建安全连接。 站点到站点 VPN 是企业将整个网络连接到综合内部网的一种经济有效的方式。

如果企业有大量远程员工在家庭办公室工作，远程访问 VPN 可能更容易部署，并随着员工的增长而扩展，但可能会出现延迟和与云应用程序不兼容的问题。 不过，如果你的员工大多不在办公室工作，而且你的目标只是将国内分支机构和国际办事处与企业网络连接起来，那么站点到站点 VPN 可能是更好的选择。 IT 团队甚至会发现，如果他们有能力同时维护两种类型的 VPN，那么将这两种类型的 VPN 结合起来使用是各自组织的最佳选择。

super加速器官方

您的组织可能已经拥有全面的企业数据安全政策这些政策规定了员工日常处理敏感数据的方式。 由于其中许多政策都是以技术为中心的，因此确保包含与 VPN 相关的具体政策是绝对必要的。

企业的 VPN 安全策略可以而且应该涵盖很多方面，包括哪些员工可以访问 VPN，哪些员工不可以访问 VPN，员工如何首先访问 VPN 并在将来进行身份验证，每个 VPN 终端用户可以获得哪些权限，等等。 此外，VPN 安全政策不一定要完全以人或员工为中心。 这些政策还应详细说明 VPN 的配置设置，如使用哪种类型的加密、哪些应用程序与 VPN 兼容、哪些应用程序与 VPN 不兼容，以及使用何种协议。 在理想情况下，这些政策可以防止员工在操作 VPN 时出现人为错误，以及硬件或软件功能上的任何失误，从而对企业的运营产生负面影响。

super加速器官方

虽然成本、便利性和可扩展性都是最初选择企业 VPN 的重要因素，但归根结底，企业使用这种工具的意义在于提高安全性。 但不幸的是，即使制定了 VPN 安全政策，VPN 也可能被用来对付它们原本应该帮助保护的组织。Verizon 2022 年数据泄露调查报告的研究表明，每 10 起数据泄露事件中就有 8 起是人为因素造成的，而粗心大意（包括配置错误）是这些泄露事件中的第三大行动载体。 配置错误的 VPN 也不例外。 例如，今年 2 月针对通信公司 Viasat 的攻击就是攻击者利用配置错误的 VPN 造成的。公司分析.

与 VPN 相关的最大安全风险可能是它们会使整个网络容易受到攻击。 如果一个坏人未经授权访问了安全的 VPN 连接，很可能使用的是终端用户被泄露的凭据，那么如果分段不当，该攻击者就可以访问同一网络上的其他系统（也许更敏感）。

为了防患于未然，IT 领导者在最初选择 VPN 时需要考虑几个重要功能，并在初始配置时遵循标准建议。 最近国家安全局建议寻找具有强大加密算法的 VPN，"禁用所有不需要的功能，对流向 VPN 网关的流量实施严格的流量过滤规则"，包括将接受的流量限制在已知的 VPN 对等 IP 地址上。 去年，美国国家安全局还发布了联合指导网络安全和基础设施安全局（CISA）的一份报告中提出了许多关于寻找和加固 VPN 以减少攻击面的建议。 其中一些建议包括寻找一个支持强身份验证、数字证书、日志和审计以及入侵防御系统的 VPN。 在找到支持这些重要功能的 VPN 后，在部署 VPN 之前，必须让知识渊博的网络工程师将这些措施落实到位。

super加速器官方

正如坏人在未经授权访问受 VPN 保护的网络后可以通过该网络移动一样，恶意软件也是如此。 虽然 VPN 可以作为有用的安全工具来防止中间人攻击和一般窃听，但它们无法防止、检测或消除通过网络移动的恶意软件。

这时，组织的企业数据安全政策，更具体地说是设备政策，又该发挥作用了。 企业 VPN 必须仅在设备上预装了防病毒和防恶意软件的公司硬件上使用。 由于 VPN 会促进恶意软件在企业网络中的传播，与 VPN 在部署前需要正确配置的情况类似，IT 领导者需要确保在连接到 VPN 硬件或安装 VPN 客户端之前，任何将使用 VPN 的硬件都已针对勒索软件和其他形式的恶意软件进行了适当保护。 此外，对员工进行持续教育也很重要，以防止恶意软件通过网络钓鱼攻击和/或被泄露的凭据进行传播。

最后，企业 VPN 部署后必须及时更新。 零日漏洞被利用的情况比以往任何时候都要严重，其中包括Mandiant 威胁情报在他们最近的报告中，发现了 80 个在野外被利用的零日漏洞，比 2019 年创下的记录增加了一倍多。麻省理工科技评论截至 2021 年第三季度末，已发现 66 个漏洞。 确保软件更新和补丁一经推出就能定期应用于 VPN，是减轻零日漏洞威胁的重要方法。

super加速器官方

在最终部署企业的 VPN 之前，测试其功能并充分了解它将如何处理用户流量是完全必要的。 特别是如果企业计划使用内部网络访问服务器（NAS）将终端用户连接到 VPN，那么就应该明白它的带宽是有限的。 虽然安全仍应是 VPN 配置的重中之重，但使用更多的安全功能可能意味着更多的延迟。 如果网络性能不佳导致工作效率下降，就会给企业带来负面影响。

为了应对可能出现的网络性能不佳问题，企业应在部署前测试其 VPN 如何处理用户流量（无论其 NAS 位于何处），并在部署后继续监控流量波动。 通过了解企业用户流量最高的时间、发送和接收数据最多的人以及数据的来源，IT 领导者可以调整流量过滤，阻止某些产生过多数据的网站，并相应调整其他 VPN 配置设置，以适应高用户流量。