虛擬專用網絡 （VPN） 的企業選擇過去非常簡單。您必須在兩種協議和少數供應商之間進行選擇。那些日子已經一去不復返了。由于大流行，我們擁有比以往更多的遠程工作者，他們需要更復雜的保護。隨著烏克蘭戰爭的繼續，越來越多的人轉向 VPN 以繞過俄羅斯和其他威權政府強加的封鎖，例如Cloudflare 的 VPN 使用數據所示。

VPN 可能不是保護遠程工作人員的完整答案。當有關 Okta 的最新黑客攻擊和去年的 Colonial Pipeline 攻擊的新聞報道都利用被盜的 VPN 憑據或當黑客找到進入 NordVPN、TorGuard 和 VikingVPN 的途徑時，這無濟于事。

當然，VPN也有其問題，例如缺乏保護端點網絡、保護云計算時的盲點以及缺少多因素身份驗證 （MFA） 控制。那篇文章提到了保護遠程工作流程的其他幾種策略，包括擴展零信任網絡以及使用安全訪問服務邊緣工具、身份和訪問管理以及虛擬桌面等產品的組合。

VPN對企業很重要的地方

VPN 仍然很有用，對于現代大部分偏遠的工作場所來說可能是必不可少的。它們可以在以下四種情況下發揮作用：

保護公共（和家庭）網絡上的數據不被中間人攻擊截獲。加密您的網絡流量使中間商更難窺探和吸納它。

保護您的智能手機不被跟蹤，這是與上述問題不同的問題：大多數用戶的手機上沒有安裝任何 VPN 軟件。移動 VPN 產品與更安全的 DNS（如 Cloudflare 的 Warp）相結合，應該在所有企業用戶的移動設備上。

作為常旅客的有用工具，尤其是當您前往專制政權或審查特定互聯網目的地的國家時。或者，如果您需要支持偏遠地區的用戶，使用具有附近端點的 VPN 可能是有意義的。

防止您的私人數據泄露給您的 ISP，盡管您的 VPN 提供商如果沒有像應有的那樣勤奮，仍然可以獲得這些信息。

最后一項需要更多解釋，這也是 NordVPN 和其他公司受到更多審查的原因之一。可悲的是，消費者 VPN 提供商在其安全和隱私聲明方面過度承諾和交付不足，做得很糟糕。許多人大肆宣傳“軍事級安全”和“100% 不泄露數據”。這些完全是胡說八道，因為沒有通用的軍事安全標準，每個 VPN 都會以某種方式在某個地方跟蹤某些東西。另一個原因：一些 VPN 只不過是跟蹤偽裝成合法軟件的應用程序。研究人員發現了快速嵌入各種 VPN 中的俄羅斯跟蹤軟件， 其中一些針對烏克蘭用戶。

Yael Grauer 與密歇根大學的一組安全研究人員合作。Grauer 發現，在團隊測試的 16 種知名 VPN 服務中，有12 種夸大了它們可以提供多少保護。Grauer 的分析還描述了每個 VPN 泄露了哪些數據、它們保留客戶日志的時間以及在分析業務 VPN 行為時可以使用的其他詳細信息。如果您勤于使用加密電子郵件產品、連接到安全的 DNS 服務器、在我們所有的登錄中使用復雜的密碼和 MFA 并避免公共 Wi-Fi 熱點，則其中一些用例可能會得到部分滿足。這并不總是可能的，這就是為什么我們仍然需要 VPN 來保護我們的對話。

VPN 現場的明亮標志

由于大流行期間對 VPN 的廣泛興趣，它們正在變得越來越好，值得重新審視。VPN 的部分問題是忽略營銷方面的胡說八道，深入研究該技術，并在您的安全堆棧中為 VPN 找到合適的位置。事實上，它們很有幫助，尤其是與可以加密互聯網流量的軟件定義安全基礎設施結合使用時。讓我們看看最近的幾個趨勢和其他發展，并為現代企業 VPN 部署提出一些建議。

［在這份免費的 CIO 路線圖報告中了解 IT 如何利用 5G 的力量和前景。現在下載！］

首先，有更廣泛的協議領域可供選擇，使其更加靈活和吸引人。十多年前，只有兩個：IPSec和SSL。從那時起，出現了更新的協議，旨在優化連接速度和整體更好的性能。例如，IETF 發布了 Internet 密鑰交換 （IKE） 的 v2，它通過更快的重新連接改進了 IPSec 隧道，并內置在大多數當前端點操作系統中。許多企業 VPN 也支持 IKEv2，例如 Cisco 的 SSL AnyConnect 和瞻博網絡的 VPN 產品。

OpenVPN有幾個使用這個名稱的項目——協議、VPN 服務器代碼和各種客戶端。它的協議在 SSL 的基礎上進行了改進，并已被廣泛采用，有幾個專有版本供 Windscribe、Hotspot Shield、NordVPN 和 ExpressVPN 等消費者 VPN 供應商使用。IKEv2 和 OpenVPN 協議都可以使用具有 256 位加密密鑰的 AES，這是現代標準。

然后是WireGuard，它有幾個項目，包括一些消費者 VPN 也支持的協議，并提供自己的 VPN 服務器和客戶端代碼。它的支持者聲稱它比 OpenVPN 更快、更容易使用；你可以在 Linux v5.6 內核中找到它的一部分。

OpenVPN 和 WireGuard 還可以在任何 UDP（在 OpenVPN 的情況下為 TCP）端口上運行，從而使它們在國家行為者試圖阻止所有 VPN 使用的情況下更具彈性。WireGuard 還設計用于在切換 VPN 服務器時保持連接。

OpenVPN 運動的一個副產品是消費者 VPN 更加關注開源。這很好，因為更多地關注代碼意味著可以修復錯誤和數據泄漏，從而提高安全性。“開放性”有幾個方面值得探索，因為消費者 VPN 提供商在其營銷描述中對這個詞的表述有些不準確。

詢問 VPN 供應商的問題

供應商如何執行其安全審計（內部或通過中立的第三方），這些審計是如何發布的？特別是，審計可以揭示濫用數據隱私或泄露客戶數據的 VPN，以及客戶端和服務器代碼庫是否完全開放。

供應商如何發布有關各種執法互動的透明度報告？這些信息可以讓企業安全經理大致了解過去披露了哪些信息，盡管這并不能保證他們將來會做什么。

其代碼的哪些部分是開源的，哪些是專有的？這適用于客戶端和服務器版本以及各種通信協議。雖然消費者 VPN 供應商已經轉向使用開源，但大多數商業 VPN 供應商還沒有。一個值得注意的例外是Perimeter 81，它結合了 VPN、防火墻、Web 網關和其他使用一些開源的安全工具。

VPN 如何與身份和安全基礎設施產品集成？例如，Sonicwall 的 Mobile Connect 支持 Ping、Okta 和 OneLogin 身份提供商；F5 的 Big-IP Access Policy Manager 支持 FIDO U2F 令牌；Palo Alto Networks 的 Okyo Garde 與其 Prisma Access 安全邊緣產品集成。如果您配置各種產品充分利用這些更安全的方法，這使得它們對商業用途更具吸引力。

最后，一個有趣的情況是基于區塊鏈的分布式 VPN 基礎設施的興起。這是 VPN 的天然場所，可用于進一步混淆流量，并使其更難在分布式網絡中進行跟蹤（Tor 和 Onion 路由器以及 Napster 之前已經證明了這一點）。早期的領導者是來自 Sentinel.co 的基于 Android 的 dVPN。它們背后的概念是，類似區塊鏈的基礎設施可以證明 VPN 提供類似 SLA 的帶寬和特定的加密級別，并且不會泄露任何私人數據。Sentinel 提供開源、跨平臺的分布式 VPN 客戶端，他們聲稱這些客戶端具有彈性、安全性和高度可擴展性，并且可以內置到自定義應用程序中。