VPN已死？最热门的九种VPN替代技术

长期以来VPN都是远程安全访问的首选技术，然而，随着远程/混合办公的普及和常态化，传统VPN在应对复杂网络环境和新型安全威胁方面显得力不从心，暴露出诸多致命缺陷。本文将介绍未来几年最热门的九种VPN替代技术。

为什么需要替代VPN？

VPN在大规模远程办公中的应用显现出种种局限性，包括：

• 攻击面扩大：VPN连接将用户所在的不安全网络扩展到企业网络，增加了攻击的可能性。
• 加密能力有限：VPN通常只加密传输流量，缺乏全面的安全堆栈支持。
• 用户认证薄弱：许多VPN未强制实施多因素认证（MFA），易于被入侵。
• 漏洞频发：例如SonicWall SSLVPN和Pulse Secure VPN多次被发现严重漏洞，成为攻击目标。

著名的殖民地管道（Colonial Pipeline）勒索攻击正是利用了泄漏的VPN设备用户名和密码，导致网络被完全控制。

传统VPN的风险和缺点已经非常明确，企业有必要对VPN的替代技术方案进行战略性投资，并在考虑替代远程访问解决方案时评估一些关键因素。最重要的是包括零信任原则：要求每次连接尝试都进行强身份验证、评估合规性、实施最小特权以及在每次尝试访问公司数据或服务时建立可信连接。

选择VPN替代技术方案另一个关注重点是支持现代管理。集中化管理是第一步，自动化功能（例如补丁管理、策略（身份验证、加密、风险评分等）以及与安全堆栈其他组件的集成）则可减轻现代风险和攻击媒介。

九大VPN替代技术

以下是九种VPN替代技术的详细解析，不仅列出其核心功能，还探讨了实际应用场景及实施中的关键考虑，为企业提供更丰富的安全解决方案：

1

零信任网络访问（ZTNA）

零信任网络访问(ZTNA)本质上是对网络上的应用程序和数据的代理访问。在授予访问权限之前，用户和设备会接受质询和确认。

零信任方法可以执行VPN的基本功能，例如授予对某些系统和网络的访问权限，但通过最小特权访问、身份验证、就业验证和凭证存储增加了一层安全性。因此，如果攻击者成功感染系统，损害仅限于该系统可以访问的内容。零信任模型还可包括网络监控解决方案，以检测可疑行为。

核心功能：

• 持续身份验证：对用户和设备进行多因素认证（MFA）。
• 最小权限原则：限制用户访问，仅授予完成任务所需的最低权限。
• 动态访问控制：实时分析风险，并根据风险级别调整访问权限。

应用场景：

• 分布式团队：帮助跨国公司保护分布式员工的访问。
• 敏感数据环境：如金融机构的客户数据访问控制。

实施重点：

• 需要集成现有身份管理系统（如Active Directory）。
• 配置详细的访问策略，减少误报对用户体验的影响。

2

安全访问服务边缘（SASE）

在零信任网络访问(ZTNA)模型中，每个用户和设备在允许访问之前都会经过验证和检查，不仅在网络级别，而且在应用程序级别。然而，零信任只是解决问题的一部分，无法监控从一个端点到另一个端点的所有流量。

SASE通过额外的网络功能层以及底层云原生安全架构提供简化的管理和操作、降低成本以及提高的可视性和安全性。

核心功能：

• 网络与安全功能融合：包括SD-WAN、云原生防火墙（FWaaS）和DNS保护。
• 云原生架构：提高网络性能，降低硬件部署成本。
• 全局覆盖：通过分布式数据中心实现全球用户的安全访问。

应用场景：

• 全球业务扩展：帮助企业在多个国家快速部署安全远程连接。
• 远程学习平台：保护学生和教职工的数据隐私。

实施重点：

• 确保不同组件的互操作性，如ZTNA、SWG与CASB的无缝整合。
• 选择具备高可用性的SASE供应商，保障关键业务连续性。

3

软件定义边界（SDP）

软件定义边界(SDP)通常在更广泛的零信任策略中实施，它是一种基于软件而非硬件的网络边界，是传统VPN解决方案的有效替代品。它允许使用MFA来划分网络，但也支持允许限制特定用户访问的规则。

一旦检测到可疑行为，SDP还可以更轻松地阻止对资源的访问，隔离潜在威胁，最大限度地减少攻击造成的损害，并在出现误报的情况下保持生产力，而不是完全禁用设备并使用户无法进行任何有意义的工作。

SDP的软件定义方面还实现了自动化，允许网络中的其他工具在识别出危险行为时与SDP交互并实时缓解这些风险。在网络攻击智能化和自动化时代，SDP的自动化能力显得尤为重要。

核心功能：

• 逻辑隔离：基于身份而非网络位置的访问控制。
• 动态威胁隔离：检测异常活动后自动阻断访问。
• 高度自动化：通过机器学习实现实时调整和响应。

应用场景：

• 动态工作场所：支持员工在不同地点工作，同时确保安全。
• 合作伙伴访问控制：限制外部合作伙伴的网络访问权限。

实施重点：

• 与现有网络工具集成，如SIEM（安全信息与事件管理）。
• 设计灵活的规则以平衡安全性与业务效率。

4

软件定义广域网（SD-WAN）

VPN依靠以路由器为中心的模型来在网络中分配控制功能，其中路由器根据IP地址和访问控制列表(ACL)路由流量。然而，软件定义广域网(SD-WAN)依靠软件和集中控制功能，可以根据组织的需要根据优先级、安全性和服务质量要求处理流量，从而引导WAN中的流量。

随着边缘计算在企业网络中的占比越来越高，SD-WAN显得尤为重要。SD-WAN可以动态管理这些分散的连接，而无需使用数百或数千个需要VPN连接或防火墙规则的传感器（其中许多部署在不太安全的位置）。

核心功能：

• 动态流量管理：基于应用优先级和网络条件优化流量路由。
• 内置安全：支持加密、身份验证和实时威胁检测。
• 中央化管理：通过单一界面管理多个分支机构网络。

应用场景：

• 工业物联网（IIoT）：管理和保护大规模物联网设备网络。
• 多分支企业：如零售连锁店或跨地区的仓储物流。

实施重点：

• 考虑对实时敏感应用（如视频会议）的服务质量（QoS）需求。
• 定期更新软件和配置以应对新兴威胁。

5

身份和访问管理（IAM）与特权访问管理（PAM）

与通常只需要密码的传统VPN相比，采用全面验证流程来确认登录尝试有效性的解决方案提供了更高的保护。借助身份和访问管理(IAM)，网络管理员可以确保每个用户都具有授权访问权限，并且可以跟踪每个网络会话。

IAM不仅是VPN的替代方案，也是保护应用程序和服务的可行解决方案，也是本文中许多其他解决方案的基础。简化的身份和身份验证策略管理增强了使用它进行身份验证的每个系统，并且在适当的情况下利用基于风险的身份验证和MFA增强安全性。

核心功能：

• IAM：集中管理用户身份验证与授权，支持风险评估和单点登录（SSO）。
• PAM：保护高权限账户，支持密码定期轮换和活动监控。

应用场景：

• 高敏感性操作：保护IT管理员和关键系统账户。
• 合规要求严格的行业：如医疗行业的HIPAA合规。

实施重点：

• 配置与人工智能（AI）结合的动态访问风险评估。
• 定期培训用户以减少凭据滥用的可能性。

6

统一端点管理工具（UEM）

Forrester高级分析师Andrew Hewitt表示，通过统一端点管理(UEM)工具进行有条件访问可以提供无VPN的体验，即在设备上运行的代理将在允许某人访问特定资源之前评估各种条件。“例如，该解决方案可以评估设备合规性、身份信息和用户行为，以确定该人是否确实可以访问企业数据。通常，UEM提供商会与ZTNA提供商集成以增加保护。”

核心功能：

• 条件访问：检查设备状态（补丁、加密、配置）以决定是否授予访问权限。
• 实时监控：支持远程锁定、数据擦除和威胁检测。
• 全面兼容：涵盖桌面、笔记本电脑、智能手机和平板电脑等多种设备。

应用场景：

• 移动办公：适用于员工使用个人设备访问企业资源。
• 高频设备更新：如零售店的POS系统。

实施重点：

• 确保与ZTNA或SASE等其他安全工具兼容。
• 明确用户隐私政策，避免因设备管理而引发争议。

7

虚拟桌面基础架构（VDI）或桌面即服务（DaaS）

Hewitt指出，虚拟桌面基础架构(VDI)或桌面即服务解决方案“本质上是从云端（或本地服务器）传输计算，因此设备上不会存在任何本地数据。”他补充道，有时组织会将其用作VPN的替代方案，但仍需要在设备级别进行检查以及用户身份验证以保护访问。“不过，这样做的好处是，与传统VPN不同，VDI不会将任何数据从虚拟会话复制到本地客户端。”

核心功能：

• 数据隔离：所有操作都在虚拟环境中进行，数据不存储在本地。
• 中央化控制：简化补丁管理和安全策略实施。
• 灵活扩展：可根据需求快速添加或移除用户。

应用场景：

• 敏感行业：如法律、保险和医疗领域的客户数据保护。
• 灾备环境：在灾难发生时快速恢复关键业务。

实施重点：

• 投资高性能的虚拟化平台，保障用户体验。
• 配置额外的访问控制以避免恶意用户的破坏。

8

安全Web网关（SWG）

安全Web网关(SWG)可保护本地或私有云中托管的Web应用程序。虽然SWG是SASE架构的一个组成部分，但也可以独立于整体SASE策略实施，以实施围绕身份验证、URL过滤、数据丢失预防的策略，甚至可以防止恶意软件通过连接。

SWG通常与业务线应用直接连接，在某些情况下，也可以在本地网络中安装软件代理来与应用或服务连接。这种灵活性使SWG成为一种简单的选择，可以改善企业的安全状况，而无需对架构进行重大更改。

核心功能：

• URL过滤：基于策略阻止访问恶意网站。
• 数据丢失防护（DLP）：防止敏感信息通过Web渠道泄露。
• 威胁防护：检测和阻止通过网络传输的恶意软件。

应用场景：

• 远程访问：保护员工通过公共Wi-Fi访问企业应用。
• 云应用安全：为企业部署在私有或公有云上的服务提供防护。

实施重点：

• 与组织的SIEM和SOAR系统集成，增强事件响应能力。
• 确保符合行业合规要求（如GDPR）。

9

云访问安全代理（CASB）

云访问安全代理(CASB)是SASE的一个组件，可独立部署以补充或替代VPN的需求。CASB能够在最终用户和SaaS应用程序之间实施安全策略（身份验证要求、加密配置、恶意软件检测、托管/非托管设备访问等）。虽然此用例不符合VPN替代品的定义（需要访问本地公司资源），但它确实取代了一些传统上只能通过中央控制点引导用户才能实现的企业控制，是一种常见的VPN用例。

核心功能：

• 统一策略管理：监控用户与云服务之间的互动。
• 设备可见性：区分受管理和未受管理设备。
• 实时威胁检测：识别可疑行为并阻止恶意操作。

应用场景：

• 多云管理：确保多云环境中的一致安全策略。
• SaaS应用安全：如Salesforce、Office 365等企业级应用。

实施重点：

• 配置详细的策略以涵盖多种设备和访问场景。
• 持续监控用户活动，优化访问权限。

参考链接：

https://www.csoonline.com/article/571379/7-vpn-alternatives-for-securing-remote-network-access.html