问:隧道分离(split-tunnel)VPN有多安全?木马、rootkit或者其它恶意软件是否有可能通过分离隧道入侵企业网络,窃取敏感数据?遵从PCI DSS等法规不利于分离隧道的VPN,这种说法是否正确? 答:分离隧道的VPN本身没有安全或不安全之说。然而,在决定集中流量还是实施分离隧道时,你需要平衡需求,控制所有用户的流量,抵御用户和企业在处理外部流量时可能会面临的危险。 隧道分离的美妙之处在于,你的公司不再需要为VPN用户提供一般的网络接入点。VPN客户可以利用分离隧道,自动判断能否通过虚拟专用网获取网址,如果不能,用户可以通过网络连接直接传递网址。
如果用户只能发送10%的流量……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:隧道分离(split-tunnel)VPN有多安全?木马、rootkit或者其它恶意软件是否有可能通过分离隧道入侵企业网络,窃取敏感数据?遵从PCI DSS等法规不利于分离隧道的VPN,这种说法是否正确?
答:分离隧道的VPN本身没有安全或不安全之说。然而,在决定集中流量还是实施分离隧道时,你需要平衡需求,控制所有用户的流量,抵御用户和企业在处理外部流量时可能会面临的危险。
隧道分离的美妙之处在于,你的公司不再需要为VPN用户提供一般的网络接入点。VPN客户可以利用分离隧道,自动判断能否通过虚拟专用网获取网址,如果不能,用户可以通过网络连接直接传递网址。如果用户只能发送10%的流量到企业网络,你可以让接入提供商处理剩下的90%。
另外,分离隧道可能会给用户留下错误的安全感觉。如果他们遵循“从隧道接入VPN”的原则,员工可能会觉得他们所有的流量,包括私人邮件和Web浏览数据,都被VPN加密了。他们可能不会意识到,本地网络的流量很容易被拦截。
从法规遵从的角度来讲,PCI DSS并没有对分离隧道做出任何声明。我认为,在法规遵从的审计过程中,你应该合理地看待每种方法。分离隧道并没有真正降低企业网络受恶意软件感染的危险性。即使你制定了VPN隧道战略,如果恶意软件在计算机接入VPN之前已经存在,那么接入以后恶意软件依然会存在。如果你希望确保连接到VPN的系统不受恶意软件感染,我建议采用网络入控制(NAC)技术。
作者
Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。
相关推荐
-
BrickerBot是如何攻击企业IoT设备的?
我所在的公司的网络囊括物联网(IoT)设备。我听说BrickerBot能够在发动拒绝服务攻击后永久性地损坏一些IoT设备。那么,企业可以采取什么措施来抵御BrickerBot?
-
工业控制系统网络应防范“内鬼”
来自内部的安全威胁可能比很多外部攻击更强烈,更有破坏力。对于管理着关键基础架构和制造过程的工业控制系统网络来说,尤其如此……
-
如何检测出定制服务器中预装的恶意软件?
定制服务器意味着企业需要对更多硬件安全承担责任,并更多地依靠定制制造商,而不是传统服务器供应商……
-
勒索软件连续升级,RaaS走热
如今,勒索软件业务正持续壮大,恶意软件开发人员在尝试利用不同类型的勒索软件的新功能,使攻击更加有效和有利可图。