5 phương pháp hay nhất về mạng riêng ảo (VPN) cho năm 2022

5 phương pháp hay nhất về mạng riêng ảo (VPN) cho năm 2022

July 13, 2022 | vietsunshine

Tìm hiểu về VPN, lý do tại sao các tổ chức đang sử dụng chúng nhiều hơn và các nhà lãnh đạo CNTT có thể làm gì để giúp đảm bảo an ninh của họ.

VPN là gì và tại sao các tổ chức sử dụng chúng?

Kể từ khi bắt đầu đại dịch COVID-19, nơi làm việc đã trải qua một sự thay đổi mạnh mẽ khi chuyển từ văn phòng về nhà và các tổ chức hiện đang trải rộng hơn bao giờ hết. Việc chuyển sang làm việc từ xa này có nhiều sáng kiến phức tạp về an ninh mạng của các tổ chức theo nhiều cách, nhưng một trong những mối quan tâm chính của nhiều tổ chức là tiếp tục được bảo mật và quyền truy cập riêng tư vào dữ liệu công ty nhạy cảm của họ. Vì lý do này, việc sử dụng mạng riêng ảo (VPN) của các tổ chức đã tăng vọt 68% kể từ đầu đại dịch, theo OpenVPN.

VPN cung cấp cho các tổ chức một cách để tạo kết nối an toàn, được mã hóa giữa nhân viên của họ và mạng công ty của họ để dữ liệu quan trọng có thể được truy cập bởi những người dùng được ủy quyền bên ngoài phạm vi công ty. Vì các VPN của công ty thường tiết kiệm chi phí, tương đối dễ triển khai và có thể mở rộng, chúng đã nhanh chóng trở thành một cách phổ biến cho các tổ chức để thích ứng với công việc kết hợp và từ xa. Tuy nhiên, với suy nghĩ đó, giống như bất kỳ công cụ an ninh mạng nào khác, VPN không phải là giải pháp phù hợp cho tất cả, cũng không phải là giải pháp “triển khai và bỏ qua”. Năm phương pháp hay nhất sau đây sẽ giúp đảm bảo rằng VPN của tổ chức và mạng công ty của bạn vẫn an toàn trước bối cảnh mối đe dọa ngày càng tăng.

1. Chọn loại VPN phù hợp nhất với tổ chức của bạn

Bước đầu tiên khi triển khai VPN trong tổ chức của bạn là hiểu loại VPN nào phù hợp nhất với nhu cầu của bạn. Quy mô lực lượng lao động hiện tại, quỹ đạo tăng trưởng, ngân sách CNTT và hơn thế nữa của một tổ chức đều có thể ảnh hưởng đến loại VPN mà tổ chức đó chọn để triển khai.

VPN dành cho doanh nghiệp thường được cung cấp ở hai dạng khác nhau: VPN truy cập từ xa (remote access VPN) và VPN site-to-site. Mặc dù mục tiêu của cả hai loại VPN là kết nối nhân viên của một tổ chức với mạng công ty của nó, nhưng chúng thực hiện điều này hơi khác nhau. VPN truy cập từ xa tương tự như VPN dành cho người tiêu dùng ở chỗ nó yêu cầu người dùng cuối cài đặt một ứng dụng khách. Sau đó, cổng VPN xác thực người dùng để tạo kết nối an toàn giữa người dùng đó và mạng công ty.

VPN truy cập từ xa thường được sử dụng bởi các nhân viên làm việc tại nhà, thường xuyên đi du lịch hoặc làm việc ở các khu vực công cộng sử dụng mạng công cộng. Mặt khác, VPN site-to-site (hoặc VPN từ bộ định tuyến đến bộ định tuyến) kết nối mạng cục bộ (LAN) của các trang địa lý riêng biệt — thường là các văn phòng riêng biệt — trực tiếp với mạng LAN của công ty để tạo kết nối an toàn. VPN site-to-site phục vụ như một cách hiệu quả về chi phí cho các tổ chức để kết nối toàn bộ mạng với một mạng nội bộ hợp nhất.

Nếu tổ chức của bạn có một lực lượng lao động từ xa lớn làm việc từ văn phòng tại nhà của họ, VPN truy cập từ xa có thể dễ triển khai và mở rộng hơn khi lực lượng lao động của bạn tăng lên nhưng các vấn đề về độ trễ và thiếu khả năng tương thích với các ứng dụng đám mây có thể phát sinh. Tuy nhiên, nếu lực lượng lao động của bạn chủ yếu làm việc ngoài văn phòng và mục tiêu của bạn là chỉ kết nối các chi nhánh trong nước và văn phòng quốc tế với mạng công ty, thì VPN site-to site có thể là lựa chọn tốt hơn. Các nhóm CNTT thậm chí có thể thấy rằng việc sử dụng kết hợp cả hai loại VPN là lựa chọn tốt nhất cho các tổ chức tương ứng của họ nếu họ có đủ phương tiện để duy trì cả hai.

2. Tạo và thực hiện các chính sách bảo mật mạnh mẽ cho cách sự dụng VPN

Tổ chức của bạn có thể đã có các chính sách bảo mật dữ liệu toàn diện của công ty quy định cách nhân viên xử lý dữ liệu nhạy cảm của tổ chức đó hàng ngày. Vì nhiều chính sách trong số này tập trung vào công nghệ, nên việc đảm bảo bao gồm các chính sách cụ thể liên quan đến VPN là điều tuyệt đối bắt buộc.

Các chính sách bảo mật VPN của tổ chức của bạn có thể và nên bao gồm rất nhiều nội dung, bao gồm những nhân viên nào làm và không có quyền truy cập vào VPN, cách nhân viên có quyền truy cập vào VPN lần đầu tiên và xác thực bản thân trong tương lai, những đặc quyền nào sẽ được phép đối với mỗi VPN người dùng cuối và hơn thế nữa. Hơn nữa, các chính sách bảo mật của VPN không nhất thiết phải chỉ lấy con người hoặc nhân viên làm trung tâm về bản chất. Các chính sách này cũng phải nêu chi tiết cài đặt cấu hình của VPN, chẳng hạn như loại mã hóa mà nó sử dụng, những ứng dụng sẽ và sẽ không tương thích với VPN cũng như giao thức được sử dụng. Những chính sách này có thể ngăn chặn một cách lý tưởng lỗi do con người gây ra khi nhân viên vận hành VPN cũng như bất kỳ lỗi nào về chức năng phần cứng hoặc phần mềm có thể ảnh hưởng tiêu cực đến hoạt động của tổ chức.

3. Đảm bảo VPN của tổ chức bạn được cấu hình chính xác

Mặc dù chi phí, sự tiện lợi và khả năng mở rộng là tất cả các yếu tố quan trọng trong việc lựa chọn ban đầu một VPN cho doanh nghiệp, nhưng cuối cùng, quan điểm của một tổ chức sử dụng một công cụ như vậy là tăng cường bảo mật. Tuy nhiên, thật không may, VPN có thể được sử dụng chống lại các tổ chức mà ban đầu chúng được cho là giúp bảo vệ ngay cả khi có các chính sách bảo mật VPN. Báo cáo điều tra vi phạm dữ liệu năm 2022 của Verizon chỉ ra rằng yếu tố con người có mặt trong hơn 8 trên 10 lần vi phạm dữ liệu và sự bất cẩn – bao gồm cả cấu hình sai – là yếu tố hành động hàng đầu thứ ba trong các vi phạm đó. Các VPN bị cấu hình sai không phải là ngoại lệ đối với những phát hiện đó. Ví dụ, một cuộc tấn công được thực hiện chống lại công ty truyền thông Viasat vào tháng 2 vừa qua là kết quả của việc kẻ tấn công khai thác một VPN bị định cấu hình sai, theo phân tích của công ty.

Có lẽ rủi ro bảo mật lớn nhất liên quan đến VPN là chúng có thể khiến toàn bộ mạng dễ bị tấn công. Nếu một kẻ xấu truy cập trái phép vào kết nối VPN bảo mật, có khả năng sử dụng thông tin đăng nhập bị xâm phạm của người dùng cuối, kẻ tấn công đó sau đó có thể truy cập vào các hệ thống khác (có lẽ nhạy cảm hơn) trên cùng một mạng nếu nó được phân đoạn không đầy đủ.

Để ngăn chặn một cuộc tấn công như vậy trước khi một cuộc tấn công xảy ra, các nhà lãnh đạo CNTT cần xem xét một số tính năng quan trọng khi lần đầu tiên chọn VPN và tuân theo các khuyến nghị tiêu chuẩn trong quá trình cấu hình ban đầu của nó. Gần đây nhất, NSA đã khuyến nghị tìm một VPN có thuật toán mã hóa mạnh và “vô hiệu hóa tất cả các tính năng không cần thiết và thực hiện các quy tắc lọc lưu lượng nghiêm ngặt đối với lưu lượng đến các cổng VPN”, bao gồm cả việc hạn chế lưu lượng được chấp nhận đến các địa chỉ IP ngang hàng VPN đã biết. Năm ngoái, NSA cũng đã ban hành hướng dẫn chung với Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) bao gồm vô số đề xuất cho cả việc tìm kiếm và củng cố VPN để giảm bề mặt tấn công của nó. Một số khuyến nghị trong số này bao gồm việc tìm kiếm một VPN hỗ trợ xác thực mạnh, chứng chỉ kỹ thuật số, ghi nhật ký và kiểm tra cũng như hệ thống ngăn chặn xâm nhập. Sau khi tìm thấy một VPN hỗ trợ các tính năng quan trọng này, điều quan trọng là phải có một kỹ sư mạng am hiểu thực hiện các biện pháp này trước khi triển khai VPN.

4. Đề phòng các lỗ hổng zero-day, ransomware và các phần mềm độc hại khác

Cũng giống như một kẻ xấu có thể di chuyển qua mạng được bảo vệ bởi VPN sau khi có được quyền truy cập trái phép, phần mềm độc hại cũng có thể xảy ra tương tự. Mặc dù VPN có thể đóng vai trò là công cụ bảo mật hữu ích để ngăn chặn các cuộc tấn công trung gian và nghe trộm nói chung, nhưng chúng không thể ngăn chặn, phát hiện hoặc loại bỏ phần mềm độc hại di chuyển qua mạng. Đây là nơi mà các chính sách bảo mật dữ liệu công ty của tổ chức bạn sẽ phát huy tác dụng trở lại và cụ thể hơn là các chính sách của tổ chức trên thiết bị. Điều bắt buộc là VPN dành cho doanh nghiệp chỉ được sử dụng trên phần cứng của công ty đã được cài đặt sẵn chương trình chống vi-rút và phần mềm độc hại trên thiết bị. Vì VPN có thể tạo điều kiện cho phần mềm độc hại lây lan qua mạng công ty, tương tự như cách VPN cần được định cấu hình đúng cách trước khi triển khai, các nhà lãnh đạo CNTT cần đảm bảo rằng bất kỳ phần cứng nào sử dụng VPN đều được bảo vệ thích hợp chống lại phần mềm tống tiền và các hình thức khác phần mềm độc hại trước khi kết nối với phần cứng VPN hoặc cài đặt ứng dụng khách VPN. Hơn nữa, điều quan trọng là nhân viên phải được đào tạo liên tục để ngăn chặn sự lây lan của phần mềm độc hại thông qua các cuộc tấn công lừa đảo và / hoặc thông tin đăng nhập bị xâm phạm.

Cuối cùng, điều quan trọng là VPN doanh nghiệp của bạn phải được cập nhật liên tục ngay sau khi triển khai. Các lỗ hổng zero-day đang bị khai thác nhiều hơn so với trước đây, với Mandiant Threat Intelligence đã xác định được 80 lỗ hổng zero-day bị khai thác trong báo cáo gần đây nhất của họ — nhiều hơn gấp đôi kỷ lục được thiết lập trước đó vào năm 2019 — và một điểm tương tự báo cáo của MIT Technology Review đã tìm thấy 66 khai thác vào khoảng cuối quý 3 năm 2021. Đảm bảo rằng các bản cập nhật và bản vá phần mềm thường xuyên được áp dụng cho VPN của bạn ngay khi chúng có sẵn là một cách quan trọng để giảm thiểu mối đe dọa của việc khai thác zero-day.

5. Kiểm tra tính năng VPN của bạn và theo dõi việc sử dụng nó

Cuối cùng trước khi triển khai VPN của tổ chức bạn, việc kiểm tra khả năng của nó và hiểu đầy đủ cách nó sẽ xử lý lưu lượng truy cập của người dùng là hoàn toàn cần thiết. Đặc biệt nếu tổ chức của bạn có kế hoạch sử dụng máy chủ truy cập mạng tại chỗ (NAS) để kết nối người dùng cuối với VPN của nó, thì cần hiểu rằng nó có một lượng băng thông hạn chế. Và mặc dù bảo mật vẫn là ưu tiên hàng đầu trong cấu hình của VPN, nhưng việc sử dụng nhiều tính năng bảo mật hơn có thể đồng nghĩa với độ trễ nhiều hơn. Nếu hiệu suất mạng kém làm giảm hiệu quả công việc, điều đó có thể gây ra những tác động tiêu cực cho tổ chức của bạn.

Để chống lại khả năng hiệu suất mạng kém, các tổ chức nên kiểm tra cách VPN của họ xử lý lưu lượng người dùng trước khi triển khai — bất kể NAS của họ được đặt ở đâu — và tiếp tục theo dõi các biến động về lưu lượng sau khi triển khai. Bằng cách hiểu khi nào lưu lượng người dùng của tổ chức ở mức cao nhất, ai đang gửi và nhận nhiều dữ liệu nhất và dữ liệu đó đến từ đâu, các nhà lãnh đạo CNTT có thể điều chỉnh lọc lưu lượng, chặn một số trang web tạo ra quá nhiều dữ liệu và điều chỉnh cấu hình VPN khác cài đặt phù hợp để đáp ứng lưu lượng người dùng cao.

Nguồn: 5 Virtual Private Network (VPN) Best Practices for 2022

Tags: ,