VPN(仮想プライベートネットワーク)の人気は、ファイアウォールの外側のリモートアクセスを使用して内部ネットワークを利用するリモートワーカーの人気と必要性とともに高まっています。製品やサービスを販売する人と同じように、VPNサービスプロバイダーは大胆な主張と約束をします。しかし、あなたはそれらを信頼すべきですか?会社のVPNの脆弱性を特定し、信頼性とパフォーマンスを検証するにはどうすればよいですか?
VPNは、ネットワークセキュリティへの階層型アプローチの重要な部分です。
1つの方法は、公平なサードパーティによって実行されるセキュリティ監査とストレステストを確認することです。 VPNは、ネットワークセキュリティへの階層型アプローチの重要な部分であり、新年は、企業ネットワークが最新のサイバーセキュリティの脅威から保護されているかどうかを確認する絶好の機会です。
VPN監査とは何ですか?
まず最初に:VPN監査について言及するとき、私たちは何について話しているのですか?最近のTechRadarの記事によると、「VPN監査は、プロバイダーがプライスウォーターハウスクーパースのような経験豊富な独立系企業に電話をかけて、サービスの1つまたは複数の側面をチェックするプロセスです。」
VPN監査とセキュリティ監査に違いはありますか?はい。
VPN監査とセキュリティ監査に違いはありますか?はい。 VPN監査は、コンシューマVPNプロバイダーのロギングポリシーの検証に焦点を当てたプライバシー監査です。セキュリティ監査は、VPNとそのセキュリティポリシーおよびセキュリティ制御を使用している企業のより包括的な検査です。
VPN監査レポートはどのような情報を提供しますか?
方法論、データ、および調査結果は、レポートの範囲によって異なりますが、理想的にはVPN全体を調べます。一部の公開されたレポートは、VPNプロバイダーからの指示に基づいて、サービスのブラウザー拡張機能にすぎない場合があることに注意してください。それだけでは、全体的なセキュリティについては、どちらかといえば、多くを語ることはできません。
包括的なVPNプロバイダー監査では、サービスのすべての部分(技術的および人間的)を確認する必要があります。
- サーバー
- ソースコード
- 構成
- 会社のスタッフ
- ロギングポリシー
- アプリ
- バックエンドシステム
ネットワークアクセスに関しては...良いことも悪いことも含めて、できるだけ詳細な情報が必要です。
企業や人間にとって、自社の製品(または自分自身)の良い面だけを共有したいと思うのは当然のことです。しかし、ネットワークアクセスに関しては、不正アクセスを防ぐために、良い情報と悪い情報の両方について、できるだけ詳細な情報が必要です。
VPN監査レポートの場所
評判の良いVPNプロバイダーは、製品とサービスの改善に継続的に取り組んでおり、内部または外部の監査は、バグを見つけて修正するために使用するツールの1つです。
サードパーティの監査人を雇うことは、VPNサービスプロバイダーにとって時間と費用がかかるため、監査レポートを一般に公開するか、少なくとも既存の顧客に提供する可能性があります。同社は、監査で明らかになったギャップを修正するための取り組みだけでなく、前向きな結果も共有したいと考えています。
VPNのテストと拡張はリスク管理にとって重要です
VPNアクセスは、リモートワークのゲームチェンジャーです。従業員は、ラップトップとインターネットアクセスを使用してどこでも作業できます。ただし、よく言われるように、最良のサイバーセキュリティアプローチは階層化されており、VPNを強化するために実行できるセキュリティ対策がいくつかあります。
DNSおよびIPリークを確認する DNSとIPアドレスは、マルウェアの起動、サービス拒否(DOS)、またはその他の種類の攻撃を目的としたハッカー(黒い帽子をかぶったハッカー)からネットワークを安全に保つための中心です。一部のVPNはDNSおよびIP情報をリークしていますが、簡単にアクセスできるオンラインツールを使用してVPNのリークをテストできます。
キルスイッチを追加する すべてのインターネットベースのサービスには、時折障害が発生します。キルスイッチは、VPN接続が切断された場合に、ネットワークを介したデータ漏洩をブロックします。
IDS/IPSを使用する 侵入検知システムと侵入防止システムは、ネットワークを継続的に監視し、悪意のあるインシデントの可能性を探し、それらのインシデントに関する情報を収集します。 OpenVPNサブスクライバーは、サイバーシールド機能をアクティブ化することでIDS/IPSをアクティブ化できます。
ファイアウォールを有効にする ファイアウォールとVPNを一緒に使用して、より包括的な安全なネットワークを作成できます。ファイアウォールを完全にオフにするのではなく、ファイアウォール構成とファイアウォールルールを使用して、許可されたアプリケーションまたはサービスの通過を許可します。
継続教育 人々がそれに気づいていない場合、世界で最高のセキュリティポリシーは機能しません。あなたの会社の従業員は仕事をやりたいと思っていますが、認証、アクセス制御、および情報セキュリティにVPN接続を使用することの重要性については専門家ではありません。さまざまなオペレーティングシステムでVPNクライアントを使用するための最新の更新を定期的に共有する従業員教育プログラムを確立し、パスワードポリシーを通知します。
独自のセキュリティ監査チェックリストを作成する ネットワーク管理者とセキュリティアナリストは、ネットワーク全体の機能だけでなく、実施されているセキュリティアプローチと管理プロセスを理解するのに最適な立場にあります。チームと協力して、ガイドとして使用できるチェックリストを作成し、それを再検討して、最新の脅威とセキュリティ対策が考慮されていることを確認します。
推奨読書
保護の重要性について学ぶ 機密データ と データ保護ポリシー あなたを守る エンドポイント 、ネットワーク、クラウド環境 ここ 。
OpenVPNのインストールと構成(Windows)
VyOSとViscosityを使用したOpenVPNサーバーのセットアップ
OpenVPNデータチャネルのオフロードが可能になりました:これが意味することです