ほとんどの企業はインターネット通信を保護する必要があります。多くの企業にとって、通信を保護する最も簡単な方法は、仮想プライベートネットワークを使用して、通信が必要なシステム間で暗号化されたチャネルを作成することです。
VPNの最も一般的な使用例としては、リモートワーカーを中央のデータセンターに接続し、業務に必要な社内リソースへの安全なアクセスを提供したり、物理的に離れた拠点間の恒久的な接続を作成したり、社内システムやネットワーク領域間の接続を保護したりすることが挙げられます。
VPNには多くの種類がありますが、大半は主に2つの技術タイプに分類されます。1つ目は、セキュア・ソケット・レイヤー技術を利用し、SSLまたはトラステッド・レイヤー・セキュリティ証明書によって接続を強化するものです。2つ目のタイプは、インターネット・プロトコルのセキュリティに基づき、より高度なセキュリティ・オプションを提供するVPNです。
SSL VPN
ほとんどの場合、SSL VPNは主に、アプリケーションやシステムへの安全なアクセスを必要とする従業員に接続性を提供します。多くのSSL VPNプロバイダーは、電子メール、オフィス・ツール、ファイル共有、通常ブラウジングでアクセスするウェブ・アプリケーションなど、一般的なアプリケーションを扱うためのローカル統合および設定オプションを提供しています。これらのVPNの利点は、接続エンドポイントにクライアントをインストールする必要がなく、一般的なアプリケーションにアクセスする場合、インストールと設定が非常に簡単であることです。
IPSec VPN
ウェブ以外のアプリケーションや、より複雑なセキュリティが必要な場合は、IPSec VPNを選択するのがよいでしょう。ポイント・ツー・ポイント・チャネル・プロトコルやレイヤー2ネットワーク・チャネル・プロトコルのようなリモート・アクセスVPNプロトコルは他にもありますが、IPSecはエンドポイントとセキュリティ・ゲートウェイ間のすべてのIPプロトコル・トラフィックを完全にカプセル化し、より強力な暗号化オプションを提供するという違いがあります。IPSecは、より複雑なプロトコルのセットです。ほとんどのエンタープライズ・クラスのVPNは、ハードウェア・デバイスとして導入されていますが、実際には、中小企業には、従来のサーバー・ハードウェアにVPNソフトウェアをインストールするオプションがあります。
アーキテクチャは異なりますが、どちらもファイアウォールの背後にあるサーバーに依存しています。
VPNプラットフォームの導入には、いくつかのタイプのアーキテクチャがあります。リモート・アクセスに使用される最も一般的なアーキテクチャは、境界ファイアウォールの背後に VPN サーバーを設置し、特定のポートや URL がファイアウォールを介してサーバーにアクセスできるようにするものです。クライアントは VPN サーバーに接続し、VPN サーバーはユーザーの役割と認証情報に基づいて内部アプリケーションやサービスに接続します。VPNとファイアウォールは、同時接続数がパフォーマンスに大きな影響を与えることなく管理できる限り、同じデバイスを使用することもできます。
このアーキテクチャは時の試練に耐えており、現在ではほとんどの導入シナリオが「VPN+ファイアウォール」または「VPN in DMZ」モデルを採用しています。このモデルの主な欠点は、VPNプラットフォームから来るトラフィックを信頼する必要があることで、多くの場合、内部で暗号化されていません。しかし、従来のネットワーク・モニタリング・ツールは、このトラフィックを監視することができます。
VPNアーキテクチャの2つ目のタイプは、2つの物理的な拠点間のサイト間接続で、通常は周辺ゲートウェイ・デバイス間で構成されます。このアーキテクチャの場合、最も重要なセキュリティ上の問題は、リモートVPNプラットフォームとネットワークの信頼性です。このような接続は通常、永続的なものだからです。
最後に、内部VPNと呼ばれるものがあり、これはより高度なセキュリティ・アーキテクチャで最も一般的なアーキテクチャです。このアプローチでは、VPN サーバーが重要なネットワーク領域やシステムへのゲートウェイとして機能します。機密データやリソースへのアクセスを制御するために内部ゲートウェイを確立することは、組織がコンプライアンス要件を満たし、特権ユーザーの行動を監視するのに役立ちます。
優れたVPN設計の共通点
どのアーキテクチャを導入するかにかかわらず、VPNプラットフォームとその機能を固定するための設定オプションが数多く用意されています。すべてのVPNは、以下の機能を備えている必要があります:
認証とアクセス・コントロール: SSL VPNはSSL/TLS証明書を使用してエンドポイントを認証し、暗号化されたチャネルを作成します。コードなどを入力して認証します。
エンドデバイスのセキュリティと信頼性の確認:ここ数年、VPN製品にはエンドデバイスのセキュリティ評価機能が徐々に追加されています。多くのVPNは、エンド・デバイスのオペレーティング・システム、パッチの修正レベル、ブラウザのバージョンやセキュリティ設定、マルウェア対策ソフトウェアがインストールされているかどうかを判断できるようになりました。
機密性と完全性: SSL VPNはパケット暗号と、3DES、RC4、IDEA、AESなどのストリーム暗号化アルゴリズムをサポートしています。どちらのタイプのVPNも完全性の検証のためにハッシュ化された暗号をサポートしており、パケットの改ざんやリプレイ攻撃をシーケンス番号やハッシュ、あるいはメッセージ認証によって検知する方法が異なります。
