Söker input om molnbaserade VPN. Jag arbetar med en vårdrelaterad organisation som letar efter en molnbaserad VPN. Det kommer att användas för att ge tillgång till ett webbaserat SaaS. VPN:en behövs för att ge alla användare en statisk IP att komma från eftersom webbappen använder en IP-vitlistning för att få åtkomst. VPN-klienten måste också stödja split-tunneling så att lokala nätverksenheter/resurser kan nås vid behov. Föredrar att split-tunneling använder FQDN för tunneling snarare än bara IP:er. Totalt antal användare är ungefär 50. Företaget är molnbaserat, så det finns ingen on-premise-utrustning och användarna är utspridda och arbetar hemifrån eller i gemensamt kontorsutrymme.
Så här långt har jag tittat på:
Palo Alto Prisma Access - Skulle passa, men kräver minst 200 användarlicenser. $$$
Palo Alto VM-serie brandvägg i Azure - Ingen aning om kostnaden eftersom jag inte har någon referens för vad Azure kostar.
NordVPN - Stöder inte split-tunneling enligt deras representant
ZScaler - väntar på ett samtal med en säljare
Perimeter81 - Har aldrig hört talas om dessa, men blev hänvisad av NordVPN
Finns det andra bra VPN-leverantörer?
Edit: Föredrar saker baserade på Azure om det är en lösning som måste hostas. Bara för att företaget använder Azure/O365 och det vore trevligt att innehålla allt där.
Om användarna tillgångar till en webbapp, använd inte en VPN. Sätt upp en “Identity Aware Access Proxy”, något som Pomerium.
Jag fattar nog fel…
Så…
Du har en webbserver värd någonstans (Azure?) och du vill ha bättre säkerhet än att bara öppna https för världen…?
Är molnwebben internt?
Eller tillhandahålls den av en partner?
Om den är internt, använd bara Azures Point-to-Site (P2S) VPN?
Om den tillhandahålls av en tredje part, är jag ledsen men det är en dum tjänst.
Statisk IP-vitlistning av en SaaS… det är som anti-cloud utan några av fördelarna.
Inte förvånande och inte ditt fel, bara… usch.
Kan de använda något annat än IP för säkerhet? SSL-klientcertifikat? Något.
Det verkar som att Cloudflare Access kan fixa jobbet. Gratis upp till 50 användare.
Om jag förstår det rätt fungerar det så här:
Cloudflare VPN-klient (baserad på wireguard) → Cloudflare VPN-server → Cloudflare webbproxy → SaaS-leverantör (offentlig tjänst eller privat IP internt)
Så du skulle bara öppna SaaS-tjänsten för Cloudflare och alla användare använder SaaS genom Cloudflares VPN-tunnel. Webbproxyn gör autentisering med din idp efter eget val.
Kolla in Twingate om du fortfarande letar.
Lätt att konfigurera en fast IP-rutt för SaaS-appen och FQDN för tunneling till privata appar.
Cisco Anyconnect om du har pengarna.
Jag kan rekommendera Zscaler. Om du har några frågor, fråga gärna.
Vi har börjat rulla ut Perimeter 81 till de flesta av våra kunder. Det är en mycket mogen produkt med ett bra gränssnitt, och vi har ställt in den så att användare måste vara anslutna till P81 för att logga in på Office.com och andra tjänster.
Vi implementerade Pulse Secure i AWS och det har varit stabilt. Det uppfyller också alla dina krav (statisk IP för användare, split tunneling via FQDN, licens för 50 användare). De erbjuder också klientlös VPN, där användare ansluter till resurser via webbläsare (zero trust-modell).
Du har förmodligen redan stött på detta begrepp, men jag vill peka dig mot en ny sorts overlay-nätverk, inte software defined perimeter (appliance-baserad) och inte heller den traditionella hub and spoke VPN från de senaste tjugo åren, utan en Zero Trust Network Access-arkitektur baserad på direktanslutning mellan värdar i kombination med ett overlay-nätverk.
Det finns ett utbud av framväxande verktyg som är mycket hjälpsamma om du är trött på traditionella VPN:er och VPN-servrar. Full ärlighet: jag jobbar för ett av företagen som bygger verktyg inom detta område (Enclave), så även om detta kanske är ett lite skamlöst reklaminlägg för https://enclave.io så låter det som att det kan passa din användningsfall.
Enclave är som ett VPN; men-
- Serverlöst (data är peer-to-peer, organiserad av en lättviktig SaaS-kontrollkanal)
- Anslutningar upprättas vid behov (tunnlar är inte alltid aktiva)
- Inga öppna portar krävs (din brandvägg kan förbli stängd, den fungerar bakom NAT)
- Fungerar med dynamiska IPs (du bryr dig inte om var den andra sidan är i förväg)
- Noll konfiguration (det fungerar på det nätverk du redan har, inga ändringar)
- Ger varje system en statisk virtuell IP-adress och DNS & FQDN ut ur lådan (definiera också dina egna TLDs)
- Split-tunneling som standard
- Mutuell autentisering & end-to-end kryptering
- Helt gratis att använda för upp till 10 system
Vi är ett finansierat och växande brittiskt startupföretag, om du får chansen att prova det skulle vi gärna höra din feedback.
Lycka till!
Är denna plattform Vesta?
Iboss Private Access, de hostar eller sätter upp det på Azure.
Jag vet inte om det kommer att fylla dina behov, men Cloudflare har förbättrat sina VPN-tjänster för företag och har ganska intressanta produkter.
Vad sägs om PA GlobalProtect?
Aruba VIA och Aruba VGW distribuerade i AWS / Azure / GCP. Väldigt kostnadseffektivt.. Stöder split tunneling.
Jag just deployade Perimeter 81 till 120 användare i ett företag. Det är ganska bra.