Pytanie o sens VPN wraca w rozmowach z klientami coraz częściej. Z jednej strony wszędzie słychać hasło Zero Trust i sugestie, że VPN to relikt. Z drugiej połowa firm wciąż loguje się do zasobów właśnie przez VPN i działa to dobrze. Prawda, jak zwykle, leży pośrodku. VPN nie umarł, ale zmieniła się jego rola i warto rozumieć, gdzie przestaje wystarczać.
Co VPN robi dobrze
Zacznijmy uczciwie. VPN nadal rozwiązuje realne problemy i w wielu firmach będzie obecny jeszcze długo.
- Szyfrowany tunel. Ruch między pracownikiem a firmą jest zabezpieczony, także w otwartej sieci w kawiarni czy hotelu.
- Dostęp do zasobów lokalnych. Serwer plików, drukarka sieciowa, system ERP na własnej infrastrukturze. Do takich rzeczy VPN wciąż jest praktyczny.
- Prostota. Konfiguracja jest znana, tania i wspierana przez większość sprzętu sieciowego.
Jeśli firma trzyma dane na własnym serwerze w biurze, a pracownicy zaglądają tam okazjonalnie, dobrze skonfigurowany firmowy VPN nadal jest sensownym rozwiązaniem. Problem zaczyna się, gdy VPN staje się jedyną i główną bramą do całego świata firmy.
Gdzie VPN zawodzi
Model VPN opiera się na założeniu, które dziś jest coraz częściej błędne: że wszystko wewnątrz sieci firmowej zasługuje na zaufanie. Z tego założenia wynikają konkretne słabości.
- Za szeroki dostęp. Po zalogowaniu użytkownik zwykle trafia do całej sieci, a nie do jednej potrzebnej aplikacji. Przejęte konto oznacza dostęp do wszystkiego.
- Ruch boczny. Atakujący, który dostanie się do środka, porusza się swobodnie, bo wewnątrz nikt go już nie sprawdza. Tak rozlewa się ransomware.
- Brak kontekstu. Klasyczny VPN pyta tylko o login i hasło. Nie interesuje go, czy urządzenie jest zaktualizowane ani czy logowanie wygląda podejrzanie.
- Podatności bram VPN. Serwery dostępowe bywają celem ataków, a jedna niezałatana luka otwiera drogę do całej firmy.
W incydentach, które analizowałem, atakujący wielokrotnie wchodził przez legalne konto VPN, a potem tygodniami poruszał się po sieci niezauważony. Sieć ufała mu, bo był w środku. To jest dokładnie ten problem, który adresuje Zero Trust.
Zero Trust nie jest produktem
Zero Trust bywa sprzedawany jak pudełko, które się kupuje i włącza. To nieporozumienie. Zero Trust to model projektowania dostępu, który streszcza jedna zasada: nigdy nie ufaj, zawsze weryfikuj. Nie ma sieci zaufanej i niezaufanej. Każde żądanie sprawdzane jest od nowa, na podstawie tego, kto, skąd i z jakiego urządzenia chce wejść.
W praktyce fundamentem tego modelu jest tożsamość i dostęp warunkowy. Zamiast wpuszczać użytkownika do całej sieci, udostępniamy mu pojedynczą aplikację, po sprawdzeniu wielu sygnałów naraz:
- czy konto potwierdziło tożsamość przez MFA,
- czy urządzenie jest zarządzane i zaktualizowane,
- czy logowanie nie odbywa się z nietypowej lokalizacji lub przy podwyższonym ryzyku.
Tu naturalnym punktem oparcia jest uporządkowana tożsamość, na przykład w Entra ID, która pozwala budować takie reguły bez wielkiej rozbudowy infrastruktury.
Więc czy rezygnować z VPN
Nie z dnia na dzień i nie na siłę. To nie jest wybór zerojedynkowy. W wielu firmach VPN jeszcze przez jakiś czas współistnieje z nowym modelem, na przykład do systemów starszego typu, których nie da się łatwo udostępnić inaczej. Rozsądne podejście wygląda tak:
- Uporządkuj tożsamość i włącz silne MFA dla wszystkich.
- Wdróż podstawowe polityki dostępu warunkowego oparte o urządzenie i ryzyko.
- Zacznij udostępniać aplikacje bez wpuszczania użytkownika do całej sieci.
- Ogranicz to, co widać przez VPN, zamiast dawać dostęp do całej sieci.
- Stopniowo wygaszaj szeroki dostęp VPN tam, gdzie nowy model już go zastąpił.
Częste nieporozumienia
Wokół tego tematu narosło kilka mitów, które warto rozbroić, zanim podejmiesz decyzję.
- VPN jest niebezpieczny sam w sobie. Nie jest. Niebezpieczne jest traktowanie go jako jedynej ochrony i dawanie przez niego dostępu do całej sieci naraz.
- Zero Trust wymaga wymiany całej infrastruktury. Nie wymaga. Zaczyna się od tożsamości i reguł, które w dużej mierze da się zbudować na tym, co firma już ma.
- Skoro mam MFA, mam Zero Trust. MFA to ważny element, ale sam w sobie nie jest modelem dostępu. Zero Trust to także urządzenie, kontekst i ograniczanie zasięgu.
Warto też pamiętać, że sam VPN nie chroni urządzenia końcowego. Jeśli laptop jest zainfekowany, tunel po prostu przenosi zagrożenie prosto do firmy. Dlatego kierunek myślenia powinien obejmować nie tylko sposób łączenia, ale też stan sprzętu, z którego ludzie się logują.
Prosta ściąga decyzyjna
- Masz dane na własnym serwerze i okazjonalny zdalny dostęp: VPN nadal ma sens, ale ogranicz jego zasięg.
- Pracujesz głównie w chmurze, ludzie logują się z różnych miejsc i urządzeń: kierunek to Zero Trust.
- Zdarzył się incydent albo szykujesz się do wymogów regulacyjnych: to dobry moment na przegląd całego modelu dostępu.
VPN nie jest błędem, jeśli rozumiesz jego ograniczenia i nie traktujesz go jak jedynego zabezpieczenia. Jeśli chcesz sprawdzić, czy Wasz zdalny dostęp odpowiada dzisiejszym zagrożeniom, zacznij od prostej rozmowy o tym, jak dziś ludzie łączą się z firmą i co widzą po zalogowaniu. Chętnie pomożemy ustawić kolejne kroki bez rewolucji.