在VPN支持生命周期中,IT团队必须了解VPN技术,做出技术决策,并知道如何将VPN平台集成到企业网络中。但这仅仅是开始。
许多技术经理面临着极大的压力,希望尽快且经济有效地启动VPN。然而,一旦VPN安装并运行后,通常就为时已晚,无法了解持续的VPN维护和管理所需的内容。本文概述了组织在持续VPN维护和管理中必须解决的关键领域,这对于远程访问和站点对站点VPN连接都是适用的。
1. 终端用户支持
IT团队需要能够轻松地使用集中用户数据库添加或删除用户。虽然团队可以为VPN用户创建和维护一个单独的数据库,但利用现有的用户数据库(例如微软的Active Directory (AD))要方便得多。
VPN基础设施可以通过远程身份验证拨号用户服务(RADIUS)或轻量级目录访问协议(LDAP)等协议访问AD。团队可以视此为企业在谁可以访问各种网络资源(包括VPN连接)方面的真实来源。
这也使得员工入职和离职变得更加简单。当技术经理从AD中删除一名员工时,他们也会撤销该员工的VPN权限。尽管如此,IT员工在进行员工入职时,必须了解何时以及何时不应该为各种员工或供应商启用远程访问VPN登录服务。
虽然团队可以使用AD来处理身份验证和对VPN服务的基本访问,但他们必须使VPN平台能够允许或拒绝对公司网络特定部分或特定端口和协议的访问。这些被称为VPN访问列表,是允许或拒绝远程访问和站点对站点VPN连接的网络准入的必要条件。
2. 隧道架构
为了支持企业连接需求,必须增加隧道数量。大多数VPN平台声称支持有限数量的远程访问和站点对站点隧道,但在VPN达到这些限制之前,性能下降可能就会发生。VPN管理员必须密切关注同时连接的用户和隧道端点的数量。
瓶颈很容易在VPN平台内形成,或者由于可用互联网带宽的耗尽而导致。例如,在COVID-19疫情期间,企业需求的激增导致VPN过度使用。2020年初,随着企业开始让员工在家工作,同时VPN连接的数量激增。虽然一些网络架构师设计了能够支持更高负载水平的VPN基础设施,但其他人却不那么幸运,必须紧急进行更改以增加支持的用户数量。
3. 加密密钥管理
从可用性和安全性角度来看,加密密钥管理是另一个重要因素。持续的密钥维护可能会给团队带来负担,因为他们不仅必须以安全的方式生成、分发和存储密钥,还必须定期更新和更改密钥。
商业证书提供商发放的公钥通常有效期为三个月至两年。一旦到期,管理员必须重新购买和重新应用这些密钥。
私有的预共享密钥在站点对站点VPN加密中也很常见。团队还应将这些密钥放在固定的续订计划上,以确保密钥不会落入错误之手。然而,修改这些类型的密钥通常需要与VPN隧道另一端的管理员进行协调,特别是在隧道终止在第三方网络时。因此,对于大型VPN基础设施,密钥管理可能需要专门的资源。
4. 硬件和软件VPN维护
团队必须准备好处理VPN平台本身的硬件和软件维护。这不仅包括VPN头端服务器的升级,还包括在PC和智能设备上安装的客户端VPN软件的升级。
在VPN维护方面,团队应该考虑以下问题:
- 您能否在不造成服务中断的情况下升级系统?
- 系统是否需要补丁以支持新功能和能力?
- 谁负责持续的VPN维护?
- 您应该如何更新和修补VPN客户端软件?
终端用户支持、隧道架构、密钥管理以及硬件和软件VPN维护都会影响保持VPN系统正常运行所需的成本、资源和时间。团队必须在购买服务之前考虑这些因素,并将这些过程纳入运营环境,以便持续处理这些问题。
相关资源
- 沉浸日:VM系列 - 演讲
- 转变您的航空公司网络安全 - 演讲
- 深入探讨网络安全
- 什么是IPsec(互联网协议安全)?
- 什么是VPN?
- 企业使用VPN的利与弊
- SD-WAN与VPN:它们有何区别?
通过关注这些关键领域,组织可以更有效地管理和维护其VPN基础设施,以应对不断变化的安全需求和业务挑战。
