Vi har i princip tagit bort vår klient-VPN till förmån för en zero-trust-modell och SaaS-tjänster som ersätter mycket av vår lokala infrastruktur som krävde klient-VPN för fjärråtkomst. Jag förstår den extra säkerhetsnivån som innebär att all trafik kapslas in via VPN, men eftersom all webtrafik redan är krypterad känns det som ett onödigt steg.
Vår HR-avdelning inför en ny policy för fjärrarbete och delar av den säger att om användaren inte kan ansluta till VPN, kan de inte arbeta på distans. Jag sa till dem att ta bort den delen, men sedan tänkte jag att fråga communityn för att se om jag är galen eller inte. Är jag det?
Redigering: Tack alla. Ni har gett bra feedback och bekräftat att jag är på rätt väg. Mycket uppskattat.
Låt dem formulera om uttalandet till att “fjärranvändare måste kunna ansluta till VPN för nödvändiga tjänster”. Det håller det tillräckligt snyggt så att du kan använda tjänst- eller appspecifik VPN som med Zscaler, istället för att skicka all trafik tillbaka till kontoret, vilket är ganska dumt.
Och på mitt senaste jobb var vi tvungna att arbeta med ledningen för att tillåta split tunneling (istället för att tvinga all trafik), för videokonferenser, och på mitt nuvarande jobb kräver vi bara VPN för specifika interna tjänster.
Det finns så många sätt att hantera fjärrarbete utan VPN - inklusive (men inte begränsat till) enhetstro, zero trust-modeller med geografisk och annan riskanalys på identitetsnivå. VPN används främst som ett säkerhetsverktyg (istället för access-verktyg) är felaktigt tänkt.
Du kan och bör kräva att slutanvändare är anslutna till VPN för att komma åt resurser som är värdade på plats. Å andra sidan finns det ingen anledning för en av dina SE:er eller AE:er att behöva logga in på VPN för att logga in på SFDC eller Dynamics när de gör ett säljsamtal, och du inför faktiskt friktionsmotstånd i processen när du gör det. Du gör också dina BCDR-processer sämre av två skäl: för det första är det större sannolikhet att folk lämnar VPN anslutna på kaféet eller medan deras barn är nära, vilket ökar risken för säkerhetsproblem.
För det andra, om du använder AD/RADIUS beroende för att logga in på VPN (som de flesta gör), har du nu infört ett beroende för att få allt arbete gjort. Om du förlorar AD, kan ingen utföra ens enklaste uppgifter, inklusive att bara uppdatera ett anbud i SFDC, och alla SaaS-tjänster som inte är beroende av AD kommer att vara otillgängliga. Detta gör saker mycket svårare för dig.
Säkra alltid saker först på användarnivå (SSO, MFA, enhetstro, korrekt riskanalys före inloggning) när du har valet.
Lite indirekt, men ja. Alla datorer har ZScaler’s ZIA för moln-NGFW som de inte kan inaktivera. Så även om den inte backhallar någon internettrafik till oss, inspekterar den 100 % av deras internettrafik.
Vi använder också ZPA för åtkomst till interna resurser.
Om ingen behöver komma åt något på plats är det troligen bättre att använda en endpoint-agent för att hantera webtrafik för företagsenheter med villkorlig åtkomst än att tvinga folk genom VPN.
Din HR-avdelning hittade några mallar, och en del av deras mallar gäller inte. Ändra bara till ett krav att användaren måste kunna ansluta till relevanta tjänster.
I mitt företag (sjukvård) har vi faktiskt tagit bort VPN helt; för många skräckhistorier på konferenser om att sjukhus blivit hackade via en chef som är på semester med en bärbar dator. Alla resurser du behöver komma åt på distans finns antingen som SaaS (som G Suite) eller via XenApp/XenDesktop. Policyn är att fjärranslutna maskiner aldrig lagrar företags- eller patientdata. Patientdata och affärsdokument med PHI måste bo kvar i system inom sjukhusets direkta förvaltning, och andra operativa dokument hålls antingen på plats eller inom G Suite.
Vi tillåter ganska generöst BYOD för fjärrarbetare, och antar att vilken enhet vi än tilldelar för distansarbete, kommer att bli stulen med all data på. BYOD och fjärrarbetsenheter får sin egen nätverkssegment, som bara tillåter internetåtkomst, inget annat. Enheter på patientvårds- och administrativa nätverk lämnar aldrig byggnaden. Adminmaskiner har mycket begränsad tillgång till externa system.
De program som behövs installeras lokalt på våra användares laptops, dvs åtkomst till företagsnätet via VPN är bara nödvändigt för att nå filservern. Men många användare kopierar ofta nödvändig data till sina bärbara datorer på företaget om de vill arbeta hemifrån, eftersom filerna ofta är ganska stora. Åtkomst till företagets egen e-postserver fungerar också utan VPN.
Kryptering och fjärrresurser på ett internt nätverk är skäl för VPN, visst. Man kan också använda det som ett extra lager av autentisering, för att bara tillåta inloggningar till företagsplattformar från specifika IP-adresser.
Vi har en alltid påslagen VPN (anslut innan inloggning) med Meraki + AnyConnect, och sedan använder vi ZScaler. M365:s villkorliga åtkomst begränsar inloggningen till våra ZScaler-IP-adresser. Men vi är i finansbranschen och är skyldiga (2025) att använda någon form av ZTNA/SASE.
Sorry.. Jag har väldigt svårt att förstå HRs roll i det stora amerikanska företagsvärlden.. varför är HR ansvariga för att implementera fjärrarbetsstrategier relaterade till VPN eller inte? Det är IT-avdelningens ansvar och därför de, med kanske en SEC-person tillagd, som bör skriva riktlinjerna.
Ja. Vi har Fortigate-brandväggar med olika hotdetektionssystem på prenumeration som vi dirigerar alla användare genom när de arbetar hemifrån, på fjärrkontor eller besöker kunder. Detta säkerställer att deras trafik är säker inom de säkerhetsprotokoll vi måste följa.
om användaren inte kan ansluta till VPN, kan de inte arbeta på distans.
Det verkar vara ett ganska rimligt tillvägagångssätt för mig. Om programvaran fungerar bra, varför inte?
Vår HR-avdelning inför en ny policy för fjärrarbete
Det jag har märkt från de platser jag har jobbat på är att HR ofta fokuserar mer på motsatsen… att använda egen VPN/tunnel är ett allvarligt brott. Folk som döljer sin plats och arbetar från konstiga platser kan orsaka problem med skatter och arbetslagar etc.
