Melhores práticas para manter a segurança VPN

Uma rede privada virtual (VPN) permite que os usuários criem uma conexão segura com outra rede através da Internet. O conceito de VPN normalmente conecta um terminal executando software cliente VPN a um servidor VPN conectado à rede segura.

Para empresas, a VPN se tornou popular inicialmente para fornecer aos usuários acesso seguro aos recursos corporativos enquanto viajam ou trabalham ocasionalmente em casa. Para a maioria das empresas, apenas uma pequena porcentagem de uma força de trabalho típica viajava ou trabalhava de forma remota em um dado momento, portanto, essas implantações não tiveram a capacidade de lidar com as mudanças provocadas pela pandemia COVID-19. Como resultado, durante a crise, muitas empresas passaram por alto dos canais normais e das melhores práticas e estabeleceram sistemas menos seguros, como a implementação de acesso VPN direto a servidores Linux ou Windows ou a utilização de equipamentos de nível de consumidor para cobrir a carga.

Segurança, autenticação e autorização de terminais VPN

As VPNs têm o propósito de viabilizar a conectividade e o conceito original não oferecia segurança de terminal nem a autenticação de usuário. Desde que a negociação do túnel de ponta a ponta esteja configurada corretamente, ele estabelecerá a conexão. Enquanto isso pode ser o suficiente para usuários individuais, a maioria das empresas exigem que os dispositivos cumpram com o mesmo nível de exigências que normalmente são vistos nos ambientes in situ. Elas também exigem a autenticação de usuários nesses dispositivos.

As plataformas de proteção de terminais e sistemas de detecção e resposta de terminais entram em jogo para este nível de acesso. Esses sistemas protegem os dispositivos dos usuários contra malware e vírus e até podem garantir que os sistemas que se conectam à empresa cumpram os padrões mínimos de atualização de software. Isso é especialmente importante para usuários que trabalham em casa ou em outros locais inseguros por longos períodos.

A maioria dos principais sistemas de firewall de próxima geração (NGFW) e plataformas de segurança integram a função do servidor VPN com este tipo de controle de acesso e ainda pode garantir que se use autenticação multi-fator (MFA) para autenticação e acesso do cliente.

Segurança do servidor VPN

Os serviços de VPN podem ser compatíveis com plataformas Windows e Linux, mas não se recomenda na maioria dos ambientes corporativos. O administrador de sistemas típico não está equipado para lidar com a avalanche de problemas de segurança associados à exposição direta dos servidores ao mundo exterior. Porém, as equipes que possuem esta configuração devem ter o cuidado de restringir o uso da função VPN e restringir o acesso à administração do servidor.

Para uma segurança maior, a maioria dos principais fornecedores de NGFW e até mesmo algumas das ofertas de serviços de acesso seguro e WAN definidos por software mais recente admitem serviços de VPN de nível empresarial. Com esses tipos de sistemas, a função do servidor VPN é integrada em um único dispositivo ou sistema de segurança reforçada.

Implementar e documentar a política de segurança de VPN

É difícil para as empresas estabelecer políticas de segurança e acesso consistentes quando você tem uma miscelânea de sistemas. Um bom lugar para começar é consolidar os sistemas VPN em um padrão comum. Uma vez estabelecido, é muito mais fácil definir e implementar políticas.

Os sistemas NGFW mais sofisticados permitem que os perfis de usuário sejam associados a tags do grupo de segurança (SWG), que fornecem tags exclusivas para descrever quais privilégios o usuário possui dentro da rede. A nomenclatura SWT é da Cisco, mas este nível de abstração é possível em muitos fornecedores de tecnologia e ainda pode funcionar em uma abordagem para múltiplos provedores usando Platform Exchange Grid Cisco, que agora é um padrão do grupo de trabalho de engenharia de Internet RFC 8600. Este conceito é importante porque as políticas podem ser aplicadas a grupos e os usuários podem ser atribuídos a grupos, o que permite uma camada adicional de controle de políticas.

Desafios de segurança de VPN

Ao seguir as melhores práticas para proteger uma VPN, é importante entender também os desafios associados.

Túneis divididos. O túnel dividido é a capacidade de um roteador ou de um terminal remoto de se conectar a mais de uma rede de serviço. Em termos práticos, o túnel dividido geralmente envolve o acesso direto a internet para alguns serviços e conexão através de um túnel VPN para outro tráfego de negócios. Uma abordagem comum é habilitar o download direto para aplicativos SaaS, como o Microsoft 365, mas requerir túnel VPN para o resto do tráfego.

Embora os túneis divididos sejam populares, eles apresentam desvantagens. O acesso ao SaaS é direto, o que melhora o desempenho, mas também pode ser um vetor de ataques e exfiltração de dados. Os planejadores de segurança também devem levar em conta que em alguns ambientes altamente regulados, como os sujeitos aos padrões do Departamento de Defesa dos EUA, o túnel dividido é proibido.

Tempos de espera. As empresas também devem se certificar de garantir o tempo de espera das sessões inativas, mas isso deve ser balanceado com UX. As recomendações de segurança típicas para iniciar os tempos de espera de VPN variam de 10 a 30 minutos. Quando as empresas possuem controle sobre os terminais, também é crucial exigir um bloco de tela após um intervalo de inatividade, como 10 minutos.

Os tempos de espera também podem incluir um tempo de espera de conexão ou autenticação. Com MFA, as empresas devem aumentar a duração destes tempos de espera para o usuário ter tempo suficiente para fornecer a informação adicional. Os intervalos normalmente são de 60 a 90 segundos.