Sự khác biệt giữa DirectAccess và VPN- P3 pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (217.3 KB, 5 trang )
Có thể truy cập Internet và người dùng có thể thực hiện bất
cứ thứ gì họ muốn trong khi kết nối Internet vì các máy khách
này không bị kiểm tra và lọc các kết nối Internet.
Nếu máy khách VPN được cấu hình để vô hiệu hóa tính
năng split tunneling, nó có thể bị bắt buộc sử dụng các cổng truy
cập Internet công ty trong thời gian máy khách kết nối. Mặc dù
vậy, khi kết nối VPN bị rớt, người dùng có thể thực hiện những g
ì
họ muốn – có thể chia sẻ bất cứ malware hoặc trojan m
à máy tính
bị tiêm nhiễm trong khi hủy kết nối khỏi VPN và kết nối trở lại.
Người dùng có thể tránh kết nối đến VPN vì thời gian đăng
nhập chập, kết nối không nhất quán và toàn bộ trải nghiệm VPN
kém tối ưu, nhiều rủi ro trong việc không bắt kịp chính sách bảo
mật công ty cũng như tăng rủi ro thỏa hiệp.
Máy khách VPN qua roaming vì vậy khác đáng kể so với máy
khách “bolted-in” trong mạng công ty ở phối cảnh bảo mật:
Group policy có thể hoặc không được cập nhật kịp thời.
Phần mềm anti-virus có thể hay không được cập nhật kịp
thời.
Phần mềm Anti-malware có thể hoặc không được cập nhật
kịp thời.
Các phương pháp quản lý và điều khiển khác có thể hoặc
không thể cấu hình lại máy khách kịp thời.
Số người có thể truy cập vật lý đến các máy tính VPN
thường lớn hơn số người có thể truy cập đến các máy tính
“bolted-in” trong mạng công ty, không chỉ các thành viên gia
đình của người dùng và bạn bè mà còn cả những người đánh cắp
máy tính.
Sự khác biệt chính giữa máy khách VPN qua roaming và máy
khách “bolted-in” trong mạng công ty là, máy khách VPN thư
ờng
nằm ngoài quyền kiểm soát và bị lộ diện trước một số lượng lớn
các mối đe dọa. Mặc dù vậy, có nhiều cách để giảm nhẹ một số
các mối đe dọa này và nhiều công ty đã giới thiệu các phương
pháp thực hiện đó, chẳng hạn như:
Sử dụng mã hóa đĩa (chẳng hạn như BitLocker) để nếu một
máy tính nào đó bị mất, kẻ trộm sẽ không thể đọc dữ liệu trong ổ
đĩa. Mã hóa đĩa cũng có thể sử dụng phương pháp truy cập bằng
cách “khóa” đĩa để khi tắt máy tính người dùng s
ẽ không thể khởi
động khi không có khóa.
Yêu cầu xác thực hai hệ số để đăng nhập v
ào máy tính, cùng
với đó cũng yêu cầu hai hệ số để mở khóa máy tính cũng như
đánh thức chúng.
Sử dụng NAP hoặc các kỹ thuật tương tự để test bảo mật
trước khi máy tính được phép truy cập vào mạng công ty. Nếu
máy tính không thể khắc phục, nó sẽ không được phép truy cập
vào mạng công ty.
Không sử dụng các tài khoản quản trị để đăng nhập vào
mạng, điều này nhằm ngăn chặn các tấn công nguy hiểm.
Đặt trung tâm dữ liệu cách biệt về mặt vật lý cũng như logic
với toàn bộ máy khách.
Sử dụng một số biện pháp này sẽ giảm được nhiều mối đe dọa
tiềm ẩn đối với các máy khách VPN truy cập từ xa. Tuy không
thể san lấp mặt bằng so với các máy khách “bolted-in” trong
mạng công ty nhưng chúng ta vẫn có một số kịch bản mà ở đó
máy khách VPN truy cập từ xa qua roaming có thể giảm bớt đư
ợc
các rủi ro. Chúng ta sẽ đi xem xét một trong trong số phương
pháp đó trong phần dưới này.
Máy khách DirectAccess
Chúng ta đang nói đến chủ đề máy khách DirectAccess. Giống
như các máy khách VPN, máy tính này có thể di chuyển từ mạng
công ty, đến một phòng nào đó trong khách sạn, trung tâm hội
thảo, sân bay, hay bất cứ nơi đâu mà một máy tính VPN truy cập
từ xa qua roaming có thể tồn tại. Máy khách DirectAccess sẽ
được kết nối với cả mạng tin cậy và không tin cậy, giống như
máy khách VPN truy cập từ xa, và rủi ro của vi
ệc thỏa hiệp vật lý
của máy tính cũng tương tự như những gì đã thấy đối với máy
khách VPN. Như vậy nếu làm phép so sánh thì máy khách
DirectAccess và VPN về cơ bản là giống như trư
ớc phối cảnh bảo
mật.
Mặc dù vậy, vẫn có một số khác biệt đáng kể giữa việc roaming
và DirectAccess:
Máy khách DirectAccess luôn được quản lý. Chỉ cần được
bật và được kết nối Internet, máy khách DirectAccess sẽ có kết
nối với các máy chủ quản lý để cập nhật kịp thời các cấu hình b
ảo
mật công ty.
Máy khách DirectAccess luôn trong trạng thái phục vụ. Nếu
nhóm CNTT cần kết nối đến máy khách DirectAccess nào để
thực hiện một cấu hình phần mềm gì đó ho
ặc khắc phục sự cố vấn
đề trên máy khách này thì họ sẽ không gặp bất cứ trở ngại gì vì
kết nối giữa máy khách DirectAccess và trạm quản
lý CNTT luôn
là kết nối hai chiều.
Máy khách DirectAccess sử dụng hai đường hầm riêng biệt
để kết nối. Tuy nhiên nó chỉ có thể truy cập đến cơ s
ở hạ tầng cấu
hình và quản lý qua đường hầm đầu tiên. Sự truy cập mạng nói
chung không có sẵn cho tới khi người dùng đăng nhập và tạo
đường hầm cơ sở hạ tầng.
Khi so sánh máy khách DirectAccess với máy khách VPN truy
cập từ xa, bạn sẽ thấy ở máy khách DirectAccess xuất hiện ít mối
đe dọa bảo mật hơn so với VPN, điều này là vì máy khách
DirectAccess luôn nằm trong sự kiểm soát của nhóm CNTT công
ty. Khác hẳn với các máy khách VPN, chúng có thể hoặc không
kết nối với mạng công ty trong khoảng thời gian khá lâu, điều n
ày
rất dễ dẫn đến không bắt kịp cấu hình bảo mật chung và làm tăng
rủi thỏa hiệp bảo mật. Thêm vào đó, các phương pháp làm giảm
nhẹ như được đề cập ở trên được áp dụng cho các máy khách
VPN truy cập xa cũng có thể được mang ra sử dụng với máy
khách DirectAccess.
Đến đây chúng ta đã đạt được mục đích của mình là so sánh đư
ợc
các máy khách VPN truy cập xa qua roaming và các máy khách
DirectAccess, rõ ràng tất cả những gì được minh chứng trong bài
đã cho thấy máy khách DirectAccess cho thấy sự an toàn hơn
trong vấn đề bảo mật chung của công ty so với việc thực hiện
roaming.
