【TechTarget中国原创】问:隧道分离(split-tunnel)VPN有多安全?木马、rootkit或者其它恶意软件是否有可能通过分离隧道入侵企业网络,窃取敏感数据?遵从PCI DSS等法规不利于分离隧道的VPN,这种说法是否正确?
答:分离隧道的VPN本身没有安全或不安全之说。然而,在决定集中流量还是实施分离隧道时,你需要平衡需求,控制所有用户的流量,抵御用户和企业在处理外部流量时可能会面临的危险。
隧道分离的美妙之处在于,你的公司不再需要为VPN用户提供一般的网络接入点。VPN客户可以利用分离隧道,自动判断能否通过虚拟专用网获取网址,如果不能,用户可以通过网络连接直接传递网址。如果用户只能发送10%的流量到企业网络,你可以让接入提供商处理剩下的90%。
另外,分离隧道可能会给用户留下错误的安全感觉。如果他们遵循“从隧道接入VPN”的原则,员工可能会觉得他们所有的流量,包括私人邮件和Web浏览数据,都被VPN加密了。他们可能不会意识到,本地网络的流量很容易被拦截。
从法规遵从的角度来讲,PCI DSS并没有对分离隧道做出任何声明。我认为,在法规遵从的审计过程中,你应该合理地看待每种方法。分离隧道并没有真正降低企业网络受恶意软件感染的危险性。即使你制定了VPN隧道战略,如果恶意软件在计算机接入VPN之前已经存在,那么接入以后恶意软件依然会存在。如果你希望确保连接到VPN的系统不受恶意软件感染,我建议采用网络入控制(NAC)技术。