サイバーセキュリティは本質的に複雑です。これには、ハードウェアとソフトウェア、および最も複雑なコンポーネントである実際の人間が含まれます。ただし、最も単純な方法で大きな違いが生じる場合もあります。
これは、VPN(仮想プライベートネットワーク)の強化の場合です。
リモートアクセスVPNソリューションは、COVID-19がヒットしたとき、あらゆる規模の企業にすでに人気がありました。これにより、従業員は会社のネットワークに安全にアクセスして、オフィスにいないときに仕事をするために必要なデータやアプリケーションを簡単に入手できます。 COVID関連の対策により、自宅または公共のWiFiで作業するリモート従業員の数が多くなり、VPNは、安全なトラフィックセッションを可能にすることで、生産性と事業運営を維持するための鍵となりました。
VPNソリューションは、機密性、整合性、および可用性という3つの基本的な情報セキュリティ原則を維持するための鍵です。
VPNソリューションは、ユーザーを企業の内部ネットワークとそのネットワーク内に存在するリソースに安全に接続するだけでなく、機密性、整合性、可用性という3つの基本的な情報セキュリティ原則を維持するための鍵となります。
- 守秘義務: 機密データへのアクセスとその変更の許可は、許可されたユーザー(多要素認証、デジタル証明書など)に制限されています。
- 完全性: データの正確性を確保するために、意図的なデータ変更と意図しないデータ変更の両方が防止されます。
- 可用性: 従業員は、どこにいても必要なリソースにアクセスすることができます。
注意点:この記事では、インターネットプロトコルセキュリティ(IPSec)、レイヤー2トンネリングプロトコル(L2TP)、ポイントツーポイントトンネリングプロトコル(PPTP)、Secure Sockets Layer(SSL)、トランスポートレイヤーではなく、OpenVPNトンネリングプロトコルに焦点を当てています。セキュリティ(TLS)、またはセキュアシェル(SSH)。
プロバイダーがセキュリティを計画していない場合、危険なバックドアを備えたソリューションを実装します。
OpenVPNに焦点を当てているのは、多くのVPNの内部を見ると、OpenVPNオープンソースコードに基づいて製品を構築しているという事実によるものです。これはVPNプロトコル標準です。しかし、最近のいくつかの脆弱性で見たように、これらのプロバイダーは、実装を賢くする必要があります。セキュリティを計画していない場合は、危険なバックドアを使用してソリューションを実装します。同じことが、ビジネス用にVPNを設定する方法にも当てはまります。当社のビジネスVPN製品であるOpenVPNCloudとOpenVPNAccessServerは強力なセキュリティと暗号化を提供しますが、環境にソリューションを実装する方法は脆弱性にさらされる可能性があります。デフォルトでは安全にセットアップするように努めていますが、環境に問題を引き起こす可能性のある要因がある可能性があります。ベストプラクティスに従うことが重要です。
ありがたいことに、適切なツールを使用すると、ネットワーク管理者はリモートワーカーに可用性を提供し、会社のネットワークを強力に保ち、ランサムウェア、DNSハイジャック、またはその他のサイバー攻撃を試みる悪意のある攻撃者を阻止できます。
VPN強化とは何ですか?
従業員が自宅、ホテル、またはその他の場所からリモートで作業する場合、モバイルデバイスとの間で会社情報をやり取りします。利便性は素晴らしいですが、ハッカーやサイバー犯罪者はその情報を手に入れたいと思っています。ただし、従業員がVPN接続を使用して企業ネットワークを利用している場合、インターネットアクティビティは暗号化されてサイバー犯罪者から隠され、VPNサーバーのIPアドレスの背後にIPアドレスを隠すことができます。
VPNやその他のネットワークセキュリティ対策は、設定して忘れてしまう提案ではありません。
しかし、それを持っているだけでは十分ではありません。 VPNやその他のネットワークセキュリティ対策は、設定して忘れてしまう提案ではありません。 VPNは、インターネットに面している他のデバイスやプログラムと同様に、更新やギャップがないか継続的にチェックする必要があります。そしてもちろん、従業員はそれらを使用することの重要性を思い出させる必要があります。それがVPN強化です。企業のVPNの最も基本的な要素を監査して、それらが正しく効果的に動作していることを確認します。監査で脆弱性が明らかになった場合は、防御を強化する必要があります。さらに良いことに、VPNが単なる暗号化以上のものを提供していることを確認してください。セキュリティ対策が多ければ多いほど、ネットワークは強力になります。
VPNデバイスを強化する方法に関する一般的なガイダンス
VPNデバイスの強化は、全体的な強化計画の最初のステップです。これを行うには、管理者は次のことを行う必要があります。
- ハードリモート管理— VPNデバイスの管理に安全でないプロトコル(Telnet、HTTPなど)を使用しないでください。 SSH、HTTPS、またはその他の暗号化されたプロトコルに固執します。 SSHにパスワードだけを使用することは避けてください。代わりにSSHキーを使用してください。 HTTPログインの場合は、MFA(多要素認証)を有効にすることを検討してください。
- 認証と承認の実装—デバイス管理を、適切で必要なコマンドのみを実行することを承認された認証済みユーザーに制限します。
- サービスとプロトコルの制限— VPNデバイスで実行されているサービスとプロトコルを、接続の受け入れと終了に必要な最小限に制限します。
- 冗長性とフォールトトレランスを提供する—障害を防ぐために、デバイスに障害が発生した場合に着信VPNトンネルを引き続き受け入れる冗長でフォールトトレラントな構成を実装します。
- アクセスの制限— VPNデバイスがリソースへのアクセスを必要とする場合、必要なリソースのみへのアクセスを制限することを選択できます—ネットワーク全体へのアクセスを許可する必要はありません。
具体的に:OpenVPNアクセスサーバーの強化
OpenVPNアクセスサーバーのユーザーは、セキュリティを強化するためにさまざまな手順を実行できます。ここにはより広範なガイドがありますが、その概要は次のとおりです。
- OpenVPNアクセスサーバーを最新バージョンに更新します。
- rootユーザーアカウントが保護されていることを確認してください。
- デフォルトの管理者アカウントを保護します。
- 有効なSSLWeb証明書をWebインターフェイスにインストールします。
- Webサーバーの暗号スイート文字列を強化します。
VPN強化のためのOpenVPNオープンソースコミュニティリソース
最後に、OpenVPNの最も優れている点の1つは、オープンソースの起源です。つまり、OpenVPN製品には、セキュリティリスクとそれらを軽減する方法を継続的に探しているセキュリティコミュニティによって提供される膨大な量のサポート情報があります。 OpenVPNサポートフォーラムには、Microsoft Windows、macOS、Android、iOS、Linux、およびVPNクライアントソフトウェアであるOpenVPN Connectを含む、多数のプロジェクトとソリューションに関するディスカッションが含まれています。
OpenVPN製品には、非常に多くのサポート情報があります。
知っておきたいこと: National Security Agency(NSA)とCybersecurity and Infrastructure Security Agency(CISA)は、この共同サイバーセキュリティ情報シートを9月にリリースしました。 VPNを選択する際の考慮事項と、VPNを安全に展開するための推奨事項について概説します。レポートをダウンロードして、VPNサーバーの攻撃対象領域を次のように減らすことでVPNを強化する方法を学びましょう。
- 強力な暗号化と認証の構成 。
- 必要な機能のみを実行する 。
- VPNへのアクセスとVPNからのアクセスの保護と監視 。
結論
常にまたは一部の時間でリモートで作業することは、ここにとどまります。インターネット接続が利用できる場所ならどこでも作業できることは、従業員と雇用者の両方にメリットをもたらしますが、潜在的なセキュリティ問題にも特別な注意を払う必要があります。 VPN強化は、企業のリソースを保護し、ユーザーに必要な機能を維持するネットワークセキュリティの重要なコンポーネントです。