Viděl jsem názory na různých místech, že není vhodné směrovat vše od klienta přes korporátní VPN, protože to může být úzké hrdlo například pro Zoom schůzky.
Ale to se mi zdá jako nejjednodušší věc na nastavení. A zatím máme méně než 50 lidí ve firmě. Měl bych zvážit, že nenuť všechno přes VPN (když ji mají aktivní)? A pokud ano… jak? Nyní jsou naše endpointy veřejné a používáme IP whitelistování. Takže nucení všech dat přes VPN znamená, že musím whitelistovat pouze VPN. Pokud zvolím selektivní směrování, předpokládám, že musím nějak říct klientovi, co má posílat přes VPN a co ne…
Edit: pokud to čteš, v tomto subredditu je hodně gatekeepingu, takže ignorovat otázky s negativní kritikou. Následují po nich velmi informativní odpovědi.
Shrnutí odpovědí: Hodně lidí považuje ZTNA (zero trust network access) za správné řešení. Ale většina z nich zároveň doporučuje používat software, který umožní uzamknout rozhraní… což pro nás není možné. Kromě toho je další běžná odpověď split tunel VPN. Jediným problémem je, že musíte mít způsob, jak identifikovat, co má jít přes tunel, což může být snadné nebo těžké podle toho, jaké máte setup interně. Celkově si myslím, že správná odpověď závisí na uživatelské základně, velikosti firmy a rozpočtu na zabezpečení.
Split tunel VPN je stejně snadno nastavitelný.
Úzké hrdlo pro Zoom a podobné, ale také zdroj zpoždění a ztráty paketů. Hovor je velmi citlivý na latenci a jitter a vložení všeho do tunelu tento problém výrazně zhorší. Split tunneling je dnešní cesta.
Měl bych zvážit, že nenuť všechno přes VPN?
Tohle opravdu připomíná způsob z 2000. let. Moderní práce má postupně eliminovat potřebu “firemní VPN”.
Dobré spravování endpointů by nemělo vyžadovat VPN. Lidé si stěžují, že dnešní desktopy nedostávají záplaty bez interního WSUS serveru, měli by se podívat na InTune například.
To záleží na tvé bezpečnostní politice.
My deaktivujeme split tunel u našeho Cisco AnyConnect VPN. Pokud se připojí přes VPN vše jde přes VPN a máme vrstvy ochrany a sledování. Občas to způsobí problémy. Udělali jsme obchodní rozhodnutí, že výhody převážily nevýhody a split tunel nepoužíváme.
Pokud mohou pracovat bez VPN, netlačte jejich provoz přes ni. Investujte do ochrany vnější sítě, například Cisco Umbrella.
Myslím, že toto bylo zveřejněno v nesprávném subu. /r shittysystemadmin
VPN je mrtvá, kromě velmi specifických případů. Přemýšlejte o zkušenosti uživatele, nastavte zero trust a kontrolujte přístup ke zdrojům přes endpoint management a IDP. I v malé firmě je to jednodušší na údržbu a škálování.
VPN je stará metoda. Z pohledu bezpečnosti, pokud VPN používáte, neměli byste povolovat split tunel, pokud nepracujete pouze s řízenými firemními aktivy nebo ověřenými bezpečnými systémy. Uživatelé pak mohou přistupovat na nevhodné weby, protože obejdou ochranu. Nenastavíte-li split tunel, mohou se na VPN infiknuté endpoints šířit lateralně, zvláště pokud není síť segmentovaná. Bezpečnost v vrstvách.
Závisí na provozu a aplikacích. Používáme split tunel.
Máme dvě připojení - MPLS pro VoIP/video, internet pro vše ostatní. Obě končí v Azure a procházejí firewallem, MPLS směřuje do DC hlavní pobočky, kde jsou naše VoIP servery, a pokud je třeba, na internet. Mám dostatečnou šířku pásma z firewallu a Azure na pokrytí veškerého provozu, takže rozdíl není velký.
Posílejte většinu provozu přes VPN, ale pokud jsou cloudová řešení? Posílejte je přímo ven (o365, Teams a tak dále).
Split tunel obvykle znamená, že posíláte provoz do určitých podsítí přes VPN, a vše ostatní jde přímo přes internet.
Full tunel je podle mě lepší, ale vyžaduje připojení VPN s dostatečnou kvalitou.
Vezměte v úvahu, že vaše vzdálené VPN nemusí být nutně na místě. Může být hostována jinde, ať už u poskytovatele nebo cloudovým SaaS. Takhle veškerý vzdálený provoz může procházet VPN a lze tam nastavit kontroly (například webové filtrování), ale pouze provoz směrovaný na on-premise servery musí přes internetové připojení kanceláře.
Split tunel s nútováním s nuceným interním DNS může být správná volba, pokud VPN vůbec potřebujete. Kontrola cílů je také možná pomocí MDE, pokud pracujete v MS prostředí.
Split tunel představuje významné bezpečnostní riziko, pokud máte zařízení chránící systémy. Pokud povolíte split tunel, přijdete o tyto ochrany, uživatelé mohou navštěvovat nevhodné weby atd., protože obejdou ochranu. Bez split tunelu může docházet k problémům s funkcionalitou videa. Pokud vám technologie umožní, povolte split tunel pouze pro určitý provoz. Používáme firewall, který umožňuje split tunel pro specifický provoz… Goto, WebEx, Zoom, atd., a vše ostatní NE. To znamená, že klient VPN musí být dostatečně chytrý, aby získal tuto konfiguraci ze serveru VPN.
O tom bude hodně názorů a různých způsobů. První otázka je, zda máte nějaká rizika nebo GRC požadavky, které vyžadují určitá opatření? Odpovídá to? Dále je třeba zvážit uspořádání sítě a architekturu. Existují omezení šířky pásma nebo dopad na kvalitu. Existuje mnoho způsobů, jak řešit tento problém, vše závisí na vašich potřebách.
Protlačit vše zpět do základny k účelu?
Inspekce provozu? DLP? To jsou platné důvody.
V mém případě, moje firma to dělá a většina služeb, které používáme, je cloudová. O365, Salesforce, pouze pár je na interně chráněné síti (například PeopleSoft).
Kromě toho, že chci DLP skenovat moje akce, nebo sledovat webové použití, nemá to žádný smysl.
Na druhou stranu, pokud máte spoustu vlastních aplikací v datovém centru a nejsou přístupné z venku, je to jiný scénář.
Split tunel, pokud nemáte L7 filtry v firewallu. Ale dnes Cisco, Zscaler atd. mají samostatné služby ve svých klientech pro zabezpečení internetového provozu, což je lepší volba.
Také výjimky v IP rozsazích, které by neměly procházet tunelem. Jako Office 365 a Zoom. To je také něco, co je třeba zvážit, pokud tunelujete veškerý provoz.
V zásadě to zní, že chcete nějaký selektivní split tunel, kde můžete specifikovat specifické trasy a adresy, které přes VPN jdou, a ostatní ne, že?
Místo toho doporučuji Twingate, což je jediná věc, kterou znám, která toto dokáže. Funguje opačně než většina konfigurací split tunelu (které jsou založené na výjimkách). Osobně ho používám ve své domácí síti a doporučil jsem ho několika firmám. Funguje opravdu dobře.
Ztrácíte nějakou viditelnost/filtrace tím, že nedáváte všechno přes VPN, ale pravděpodobně to tak už děláte.