VPN(VPN)
Angleški izraz: Virtual Private Network
Šifrirana povezava med uporabnikom in poslovnim omrežjem, ki sodelavcem omogoča varno delo z internimi viri od koderkoli.
Kaj pomeni VPN?
VPN (Virtual Private Network) vzpostavi šifriran 'tunel' med uporabnikovo napravo in poslovnim omrežjem. Promet, ki teče po tem tunelu, je za zunanjega opazovalca neberljiv, naprava pa se v internem omrežju obnaša, kot da je fizično v pisarni.
V poslovnem svetu se najpogosteje uporabljata dva tipa: site-to-site VPN (stalna povezava med dvema lokacijama, npr. centralo in podružnico) in client-to-site VPN (sodelavec se z osebne ali službene naprave poveže v poslovno omrežje).
Najpogostejši protokoli so OpenVPN, IKEv2/IPsec in WireGuard. WireGuard je novejši, hitrejši in enostavnejši za vzdrževanje; OpenVPN je še vedno najbolj razširjen v obstoječih okoljih.
Zakaj je to pomembno za podjetja?
VPN je predpogoj za delo na daljavo, ki ni nemarno. Brez VPN-a sodelavci do internih strežnikov in aplikacij dostopajo bodisi preko javno izpostavljenih storitev (kar je tveganje), bodisi sploh ne — kar omejuje fleksibilnost dela.
VPN istočasno zmanjša napadno površino: namesto da bi imeli odprt RDP, datotečni strežnik ali ERP do interneta, je javno dostopen le VPN strežnik z MFA. Vse ostale storitve so dosegljive izključno po VPN-u.
Kje se to pojavi v praksi?
Tipičen primer: sodelavec na terenu odpre VPN odjemalca na prenosniku, vnese geslo in potrdi prijavo z MFA aplikacijo. Po nekaj sekundah ima dostop do datotečnega strežnika, ERP-ja in tiskalnika v pisarni — popolnoma enako kot če sedi za svojo mizo.
Druga pogosta postavitev: site-to-site VPN med centralo in proizvodno lokacijo, ki omogoča, da nadzorni sistemi, kamere in pisarniške storitve delujejo kot eno omrežje, čeprav sta lokaciji povezani preko interneta.
Najpogostejše težave ali napake
Najpogostejša napaka je VPN samo z uporabniškim imenom in geslom, brez MFA. Ukradeno geslo (preko phishinga) zadošča napadalcu, da se postavi v notranje omrežje — od koder je škoda neprimerno večja kot pri zunanjem napadu.
Druga pogosta težava: VPN, ki vsem dovoli dostop do vsega notranjega omrežja. Pravilen pristop je, da posamezna skupina uporabnikov dobi dostop le do storitev, ki jih dejansko potrebuje.
Tretja napaka: pozabljen VPN dostop za nekdanje sodelavce ali zunanje izvajalce. Brez pregleda nad seznamom računov se sčasoma nabere skupina aktivnih dostopov, ki bi morali biti že zdavnaj ukinjeni.
Kako pri tem pomaga VitalIT
Pri VitalIT pomagamo podjetjem urediti oddaljen dostop tako, da je hkrati varen in praktičen za sodelavce. Pri obstoječih okoljih najprej preverimo, kateri VPN se uporablja, ali ima MFA in kako so urejene pravice.
V praksi postavimo VPN na pfSense ali drugi požarni pregradi, vključimo MFA (na primer preko TOTP ali Microsoft Authenticator), uredimo dostope po vlogah in pripravimo dokumentacijo za uporabnike. Rešitev prilagodimo dejanskemu okolju in dogovoru s stranko.
Sorodni izrazi
Povezane storitve
Pogosta vprašanja
- Ali je VPN za manjše podjetje pretiravanje?
- Ne. Takoj ko ima podjetje vsaj enega sodelavca, ki občasno dela od doma ali na terenu, je VPN bistveno varnejša rešitev kot odpiranje internih storitev neposredno na internet.
- VPN ali Zero Trust — kaj je boljše?
- Ne gre za 'ali — ali'. VPN je odlična izhodiščna rešitev, ki večini manjših in srednjih podjetij povsem zadošča. Zero Trust pristop ima smisel pri večjih okoljih z veliko zunanjimi izvajalci in raznolikimi napravami.
- Ali je komercialni VPN (NordVPN, ExpressVPN) primeren za podjetje?
- Ne. Komercialni VPN ščiti zasebnost posameznika pred ponudnikom interneta, ne omogoča pa dostopa do internih virov podjetja. Za poslovno rabo je potreben lasten VPN strežnik.
- Ali mora VPN delovati 24/7?
- VPN strežnik mora biti dosegljiv vedno, ko ga uporabniki potrebujejo. Pri high-availability postavitvi sta dva požarna zidova v paru, da prevzem ob okvari poteka samodejno.