确保虚拟私人网络的安全性

关键要点

图片来源: Carsten Medom Madsen / Shutterstock

在当今这个无时无刻不在运作和面临风险的世界里，远程访问变得尤为重要，允许员工在任何地方工作，但这也意味着我们的网络暴露在更多风险之中。如果您仍然为员工提供虚拟私人网络（）技术而未启用多因素认证（），您将特别容易受到攻击。VPN软件常常是成功攻击的根源，攻击者可以利用它进行域控制，最终插入勒索软件。

VPN漏洞可能来自于VPN客户端软件自身，也可能是任何连接网络的设备。暴力破解、密码喷洒和凭证填充等都是攻击者用来获取访问权限和窃取信息的一些手段。

在保护和管理VPN访问时，您可以从确保软件始终保持最新状态入手，跟进必要的补丁和任何可能发布的。当然，还要确保有强密码的政策，并提供有关创建最安全密码的具体建议。

一旦确保更新与补丁后，还有更多工作需要做以保障VPN访问的安全性和网络的保护。首先，拒绝来自任何网络、互联网资产或匿名连接的软件的IP连接和认证。确保可以跟踪和记录特定地址的连接。

请确保在员工的政策与指导中列出允许进入网络的连接列表——任何用户都不应使用诸如（洋葱路由器）这样的服务访问公司的网络。建立帐户锁定政策以及适当的密码策略，以确保长且强的密码不仅被鼓励且是强制性的。

请注意，尽管实施增加密码复杂度的政策是必要的，但密码疲劳是现实问题也需要被管理。太多人只是向密码添加一个字母，而不是选择一个更好的密码短语。平衡根据政策或行业法规更改密码的需要与添加多因素认证（MFA）比更改密码更有效的指导。

在设置用户帐户时，即使是测试帐户也应启用多因素认证。所有托管服务提供商和顾问也应开启MFA，当然他们的帐户在参与期间也需要监控活动和使用情况。一旦咨询窗口关闭，相关帐户也必须关闭。

应审计VPN设备，确保没有使用默认密码，并重置任何原始密码。确保审计和回顾已设置的设备，并确认它们已适当配置。

检查已建立的安全组，确保它们得到正确的分配，并确保这些用户仅能访问必要的位置、设备和网络。设置一个日程或脚本审计，以确保组配置正确且不再使用的组被禁用并从网络中移除。任何VPN设备上的本地用户访问也应进行监控。

确保所有SSL VPN连接都在使用签名证书，以确保连接的安全与保护。

确保您有一个VPN解决方案能够监测“不可思议的旅行”情况——例如，如果用户早上7点在某个地点登录，他们不应该在一小时后登录到一个在