Casa Negocis Les empreses han d'entendre el risc de serveis de vpn

Les empreses han d'entendre el risc de serveis de vpn

Taula de continguts:

Vídeo: ✅ Глава 1. 27 VPN (De novembre 2024)

Vídeo: ✅ Глава 1. 27 VPN (De novembre 2024)
Anonim

Com es pot observar a la nostra recent revisió de serveis de xarxa privada virtual (VPN), aquests productes existeixen per moltes raons, no totes pertinents per a l'ús empresarial. Per exemple, és poc probable que el vostre personal informàtic tingui una raó comercial per veure pel·lícules bloquejades activament en una regió geogràfica concreta com, per exemple, la Xina.

En lloc d'això, les raons generals per les quals un negoci hauria d'utilitzar un centre de serveis VPN gairebé en tot entorn de seguretat. Protegir el dispositiu mitjançant la VPN, protegir les seves dades en trànsit i protegir la xarxa empresarial a la qual es connecta la VPN, és a dir, hi ha moltes bases. També pot necessitar una VPN per complir els requisits de compliment de la transmissió d’informació relacionada amb la salut o dades financeres. Potser voleu assegurar-vos que els vostres competidors no poden veure el que esteu fent. O el que és més habitual darrerament, no voleu que un govern estranger s’ofonés de la vostra propietat intel·lectual (IP).

Una VPN configurada correctament ha de gestionar tots aquests trucs. La vostra connexió entre dos punts separats d’Internet es xifra mitjançant l’ús d’alguns algoritmes potents que haurien d’evitar a qualsevol persona, ja sigui de la vostra empresa competidora al carrer o de si treballa per Kim Jong-Un, que interceptin les vostres comunicacions. O ho faran?

Què fa realment la vostra VPN?

Aquesta és la pregunta que ens ha formulat el Departament de Seguretat Nacional dels Estats Units a instàncies dels senadors Ron Wyden (D-OR) i Marco Rubio (R-FL). En una carta a Christopher C. Krebs, director de la recent constituïda "Agència de seguretat ciberseguretat i infraestructures", els dos senadors van assenyalar que molts serveis VPN són propietat de corporacions de fora dels Estats Units i que poden tenir la capacitat d'extreure informació (la les mateixes dades que els usuaris pensaven que estaven protegits) i, a continuació, la comparteixen amb altres.

Aleshores, primer, és possible que un proveïdor VPN sense escrúpols comparteixi comunicacions de forma desxifrada amb altres? I, en segon lloc, és probable que aquest compartir sigui realment succeint?

La resposta a la primera pregunta és un "sí" inequívoc. Des d’una perspectiva purament tècnica, és totalment possible que un proveïdor comparteixi la informació privada que bombeu a través de les seves canonades VPN. La resposta a la segona pregunta és, per descomptat, "potser", perquè depèn del proveïdor, que gestioni aquesta organització, potencialment on es trobin, i, finalment, de quina sigui la seva ètica. Aquestes són les preguntes que se’ls demana determinar el DHS.

El motiu pel qual és possible és perquè treballen la majoria de proveïdors VPN. Quan configureu la sessió VPN, creeu un túnel xifrat entre el vostre ordinador o xarxa i un servidor a la ubicació del proveïdor VPN. Des d'aquest moment, la vostra connexió s'envia a la destinació final. Mentre que les vostres dades passen pels servidors del proveïdor VPN, pot ser que estigui en un estat no xifrat i es pot xifrar de nou quan s'enviï a l'altre extrem de la vostra connexió.

Tot i que alguns proveïdors VPN mantenen les vostres dades xifrades al llarg de tot el procés, és possible que algunes no. I qualsevol d'ells pot desxifrar les vostres dades si ho trien. El risc es troba durant el temps que les vostres dades es dediquen als servidors del proveïdor VPN. Un proveïdor sense escrúpols podria enviar una versió no xifrada de les vostres dades a algú altre mentre estigui en la seva possessió. Davant d'aquest escenari, com protegir les vostres dades empresarials?

(Crèdit imatge: Statista)

Com protegir contra la pèrdua de dades

Primer, conegueu el proveïdor de VPN. Si sou una empresa amb seu als Estats Units, haureu d’adonar-vos que un proveïdor de VPN amb seu als Estats Units estarà sotmès a les lleis nord-americanes sobre protecció de dades; pot ser que un proveïdor situat en un altre lloc Així mateix, si esteu ubicats a Europa o en un altre país, també voldreu saber que les vostres dades també s’estan gestionant d’acord amb les vostres lleis locals.

Francis Dinha, fundador i conseller delegat d'OpenVPN, va dir que heu de considerar que és una bandera vermella si es troba un proveïdor VPN a l'estranger. "Quan teniu una empresa que opera fora del país, us exposeu a riscos de seguretat", va dir. "Qui sap si les dades del dispositiu es comparteixen a algú?"

Dinha assenyala que hi ha altres banderes vermelles, especialment si s’ofereix de forma gratuïta una VPN. Amb un servei de VPN gratuït, tu ets el producte, explica. Això pot voler dir que l’ús de la vostra VPN us pot exposar a publicitat, o bé podreu trobar les vostres activitats compartides amb d’altres amb finalitats de màrqueting, o podeu trobar que les vostres dades s’estan compartint amb entitats que no tenen el vostre millor interès.

"No heu d'utilitzar VPN que permeti connexions torrent o peer-to-peer", va dir Dinha. "Podria ser un tercer capaç d'instal·lar contingut maliciós."

Aquelles connexions de companys de tercers també poden extreure dades de la vostra xarxa. Poden permetre als seus clients instal·lar portes posteriors per a un ús posterior i poden donar-los accés als actius de la xarxa durant tot el temps en què la VPN estigui activa. Si bé molts consumidors i usuaris energètics de tecnologia VPN poden escoltar-se en aquest consell, sovint utilitzen una VPN particular, específicament perquè permet un ús torrent i de parella, aquests usuaris coneixen bé aquests possibles riscos de seguretat. Estan disposats a agafar-los, i és probable que hagin instal·lat un programari de protecció d’endpoints per compensar-lo. La majoria de les empreses, en canvi, probablement participen simplement en la transmissió de dades i en connexions remotes segures, cosa que significa que els riscos addicionals addicionals no valen la pena.

Dinha va dir que qualsevol VPN, incloses les que es troben als Estats Units, es pot utilitzar malament, de manera que és fonamental que proveïu el proveïdor de VPN per assegurar-vos que proporciona el servei que creieu que està rebent. Va dir que una bona manera d’assegurar-se que s’està tractant amb un proveïdor VPN de bona reputació és confirmar que l’empresa és respectable d’altres maneres. Per exemple, cerqueu empreses que tinguin connexió a la seguretat, com ara empreses de tallafocs o empreses de programari de seguretat.

Un dels punts clau, va dir Dinha, és que mai no heu d'utilitzar una VPN on no pugueu controlar el servidor. També suggereix que us heu d’assegurar que teniu un control complet sobre la gestió de claus. De nou, des d'una perspectiva empresarial, aquesta és una bona idea. Tanmateix, la majoria dels consumidors no configuraran els seus propis servidors VPN. De fet, tota la idea que hi ha darrere de les VPN de consum és que no han de fer-ho. Els usuaris i consumidors d’energia elèctrica necessiten pesar el seu temps i recursos davant els avantatges que obté el control final a extrem de les seves VPN. Les empreses es poden permetre més problemes, especialment aquells que tenen personal permanent de TI, i és probable que ho siguin.

Quin tipus de solució VPN heu d'utilitzar

En aquest moment, probablement pensareu que l'ús d'un servei VPN de consum en el qual us connecteu a un servidor d'un altre país, que us connectarà a un lloc situat en un altre lloc, no és una bona pràctica empresarial. Dinha està d’acord, destacant que realment aquests serveis no es van desenvolupar com a solucions empresarials.

  • Els millors serveis de VPN per al 2019 Els millors serveis de VPN per al 2019
  • Les millors VPN de Linux del 2019 Les millors VPN de Linux del 2019
  • Els senadors nord-americans exigeixen la sonda de VPN estrangeres per risc d'espionatge. Els senadors nord-americans exigeixen la prova de VPN estrangeres per risc d'espionatge

El que la majoria de les empreses han de fer en lloc és utilitzar una solució VPN que connecti els usuaris al servidor propi de l’empresa sense un pas intermedi pel servidor d’una altra persona. Hi ha moltes solucions disponibles, algunes d’empreses de les quals no heu sentit a parlar i algunes d’empreses tan conegudes com Cisco. Totes aquestes, però no totes, són compatibles amb el programari de codi obert d'OpenVPN, que també és àmpliament utilitzat i re-comercialitzat per altres venedors perquè ha evolucionat a una norma de facto a l'espai VPN.

Certament, és més difícil de configurar i implementar que simplement registrar-vos per a un servei en núvol VPN, però la diferència és que us connecteu directament a un servidor VPN que controleu, normalment situat a la vora de la vostra pròpia xarxa. D’aquesta manera, les vostres dades es protegeixen i mai entra en mans d’un tercer.

Les empreses han d'entendre el risc de serveis de vpn