Crédit : Dreamstime
La pandémie a en fait accéléré l’avancement de meilleures façons de servir et protéger les travailleurs à distance, ce qui en fait un bon moment pour reconsidérer les VPN.
Récemment, les VPN ont connu des améliorations techniques avec l’ajout d’options de protocole qui améliorent les fonctionnalités bien en avance par rapport à ce qu’elles étaient lors de leur toute première invention. Dans le même temps, les toutes nouvelles architectures de sécurité Zero-Trust Network Gain Access to (ZTNA), Safe Gain Access to Service Edge (SASE) et Security Service Edge (SSE) font des percées dans ce qui était en réalité le domaine de VPN d’accès à distance.
VPN vs ZNTA
La thèse principale de ZTNA est que les utilisateurs doivent confirmer chaque utilisateur et gadget qui souhaite accéder au réseau. Plutôt que d’accorder de larges pans d’accès chanceux, ils sont avares de ce qu’ils approuvent quand et à qui. Cela est dû au fait que la confiance zéro suppose que les risques peuvent provenir à la fois de l’intérieur et de l’extérieur du réseau de l’entreprise.
Bien que certaines entreprises aient complètement abandonné les VPN IPsec pour des réseaux ZTNA plus détaillés, elles ont encore besoin d’autres types de protection, comme la protection des smartphones des employés contre le suivi et le piratage lorsqu’ils voyagent.
Cloudflare a une belle explication des distinctions entre ZTNA et les VPN, en se concentrant sur 3 fonctions :
Couches OSl : les VPN IPsec fonctionnent à la couche 3, la couche réseau , tandis que ZTNA– et par extension SSE et SASE– fonctionne principalement aux couches 4 à 7 via des passerelles et en utilisant des protocoles Web tels que TLS.
Cela suggère que ZTNA offre une protection plus totale, en particulier lorsqu’il s’agit de protéger des applications et des gadgets spécifiques. Mais la défense de couche 3 est utile pour bloquer les mouvements de logiciels malveillants plus complets et pour segmenter le réseau pour des catégories d’utilisateurs spécifiques.
Matériel et logiciels sur site : la plupart des VPN professionnels ont besoin de leur propre les serveurs sur site auxquels les points de terminaison sont liés via le logiciel client sur chaque périphérique de point de terminaison. Cela suggère que le serveur peut être un point de défaillance unique et suggère généralement que le trafic vers et depuis les ressources basées sur le cloud doit passer par le centre de données d’entreprise qui héberge le serveur, ce qui ajoute de la latence.
ZNTA a une empreinte plus légère et est normalement mis en œuvre avec des ressources basées sur le cloud et peut s’exécuter avec ou sans représentants d’applications logicielles spécifiques aux terminaux. Lorsqu’ils utilisent des agents, ils peuvent ajouter à la charge du processeur du point de terminaison.
Contrôle granulaire : de nombreux VPN sont conçus pour sécuriser l’ensemble d’un réseau en fournissant un tunnel sécurisé à travers lequel les machines distantes peut accéder au réseau. Cela semble bien en théorie, mais est mauvais en pratique, car un seul point de terminaison contaminé peut servir de point de départ pour une attaque de logiciel malveillant sur l’ensemble du réseau.
ZTNA peut être plus précis en restreignant à la fois l’accès au réseau et l’accès aux applications et peut pour cette raison appliquer des politiques précises qui permettent l’accès à un utilisateur spécifique sur un appareil spécifique à un moment précis pour un particulier application. Cette sécurité adaptative et plus polyvalente est un énorme avantage lors de la gestion d’appareils non gérés de type BYOD ou d’appareils IoT qui ne disposent d’aucun logiciel client pour les sécuriser.
ZTNA peut également être utilisé comme méthode pour fusionner différents outils de gestion de la sécurité. Par exemple, Prisma Access de Palo Alto Networks utilise ZTNA pour combiner ses logiciels de pare-feu, l’accès cloud aux courtiers de sécurité et les outils SD-WAN.
Malgré ces différences, il existe des situations où les VPN et ZTNA peuvent coexister. Un VPN peut être utilisé lors de la connexion à un bureau distant ou lorsque les utilisateurs doivent se connecter à des serveurs de fichiers sur site. Les VPN nécessitent un examen plus approfondi en ce moment pour deux facteurs. Les VPN et ZTNA peuvent se compléter et fournir une enveloppe de sécurité plus complète, d’autant plus qu’un grand nombre d’employés restent dans des endroits éloignés.
Mais plus important encore, l’environnement du protocole VPN s’est en fait considérablement amélioré au cours des 15 ou vingt ans. IPsec a en fait été principalement remplacé par la version 2 d’Internet Secret Exchange (IKEv2), une procédure de tunnellisation prise en charge par Windows, macOS et iOS.
Il inclut également l’adresse réseau transversale (NAT) qui offre des reconnexions de tunnel plus rapides pour les téléphones mobiles lorsqu’ils se déplacent, utilise AES et Blowfish pour un bien meilleur cryptage et une authentification basée sur des certificats pour éviter l’homme dans le attaques moyennes. IKEv2 est également pris en charge par de nombreux VPN d’entreprise tels que SSL AnyConnect de Cisco et les produits VPN de Juniper.
Il existe également deux procédures VPN récentes, Wireguard et OpenVPN. Les deux ont une poignée d’autres services qui sont en partie open source, y compris un réseau de serveurs, des clients de points finaux et les véritables procédures elles-mêmes.
OpenVPN
L’OpenVPN job a été adopté par des sociétés VPN grand public composées de Windscribe, Hotspot Guard, NordVPN et ExpressVPN, et il prend en charge les clients Windows, MacOS, iOS, Android et Linux. Cela présente des avantages indirects pour les utilisateurs professionnels, car étant open source, il y a plus d’yeux sur le code et ses nombreuses applications.
La tâche a en fait développé ce qu’elle appelle le Cloud OpenVPN, qui anticipe l’exigence d’un serveur VPN sur site car ils peuvent s’y connecter en tant que service géré. Un niveau gratuit permet aux utilisateurs d’établir trois connexions simultanées, et les stratégies mensuelles commencent à 7,50 USD par connexion de point de terminaison chaque mois pour un minimum de 10 connexions. Cela tombe à seulement quelques dollars par mois pour plus de 50 connexions.
Le logiciel OpenVPN Server est également facilement disponible pour les configurations d’auto-hébergement à des prix similaires. En plus de son VPN, le projet utilise également CyberShield, un service qui sécurise le trafic DNS, ce qui est pratique pour empêcher les attaques DoS et man-in-the-middle.
OpenVPN fonctionne à la fois sur les ports TCP et UDP , augmentant sa flexibilité. Cela suggère que les connexions via OpenVPN peuvent être plus résistantes lorsque des acteurs parrainés par l’État tentent d’obstruer des ports d’accès à distance bien connus. L’un des problèmes est que la plupart des serveurs régionaux d’OpenVPN se trouvent dans l’hémisphère nord, de sorte que les utilisateurs se connectant depuis d’autres endroits connaîtront des latences plus longues. Les fournisseurs de services grand public tels qu’ExpressVPN et NordVPN ont une empreinte mondiale plus importante.
WireGuard
WireGuard est également un projet open source, et comme IKEv2, il est créé pour des reconnexions rapides, ce qui améliore la fiabilité. Comme OpenVPN, il comprend toute une constellation de services, y compris les clients Windows, MacOS, iOS, Android et Linux, et il est pris en charge par des sociétés VPN grand public comprenant Mullvad, ProtonVPN, Surfshark, NordVPN et Personal Internet Access.
Ses partisans affirment qu’en raison de son architecture allégée et suggérée, il peut surpasser les autres protocoles VPN et peut être exécuté rapidement dans des collections de conteneurs. Il est gratuit et fonctionne sur n’importe quel port UDP. Ses auteurs ont en effet publié des instructions extrêmement explicites sur ses limites de sécurité qui consistent en un manque d’obscurcissement du trafic et le fait que la procédure est encore très en cours de développement.
Avec WireGuard ou OpenVPN, les entreprises ont plus de puissance et de flexibilité dans l’évaluation de leur collection de procédures à distance. Les utilisateurs peuvent venir pour la sécurité mais rester en raison du fait que de l’utilitaire. Ils peuvent utiliser le cloud OpenVPN géré pour augmenter ou réduire rapidement leur accès à distance aux exigences, ce qui est meilleur pour le fonctionnement des solutions basées sur ZTNA.
OpenVPN et WireGuard dans l’entreprise
Étant donné qu’OpenVPN et WireGuard ont été adoptés par les sociétés de VPN grand public, pourquoi une entreprise devrait-elle y prêter attention ?
Premièrement, leur faible surcharge peut réduire les latences et améliorer les fonctionnalités. Deuxièmement, parce qu’ils démontrent les avantages de l’utilisation de code source ouvert et de méthodes telles que les audits de sécurité tiers pour valider leur valeur, leur confidentialité personnelle et d’autres fonctions. Les fournisseurs de VPN d’entreprise pourraient adopter ces stratégies pour des raisons de concurrence afin d’améliorer leurs propres offres.
Cela signifie-t-il que les entreprises devraient abandonner SSE et SASE ? Pas. Les entreprises ont toutes sortes de besoins d’accès à distance qui couvrent un large éventail d’applications, d’exigences en matière de bande passante et de gadgets pour les utilisateurs finaux.
Les applications se heurtent à toutes sortes d’infrastructures : cloud personnel, cloud public, conteneurs et équipement sur site. Une organisation typique utilise de nombreuses sociétés d’identité, des outils d’authentification et des configurations de réseau. Ajoutez à ce mélange la capacité de SASE et SSE à séparer les sessions de recherche ou à configurer l’accès au cloud aux courtiers de sécurité pour mieux protéger ces ressources.
Il est révolu le temps où tous les utilisateurs distants se connectaient au moyen de un rack de serveurs de passerelle hébergés dans le centre de données, mais les procédures VPN les plus récentes peuvent également compléter le monde courageux pas si nouveau de la confiance zéro.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
