Autor: Tomáš Přibyl, externí odborný redaktor ICT SECURITY

Technologie VPN je čím dál rozšířenější a své uplatnění nachází v rozličných oblastech. Jaké přínosy nám nabízí a kde naopak narážíme na její limity?

Přednosti a přínosy VPN

Nasazení VPN má mnoho přínosů. Především: VPN dramaticky snižují náklady na spojení. Přestože využití veřejných sítí považujeme za samozřejmost, tak si uvědomme, že právě díky VPN a veřejným sítím nemusíme budovat vlastní nákladné sítě. A to v oblasti, kde by to bylo zhola nemožné: jen málokterá organizace si může dovolit vybudovat vlastní fyzickou globální síť. Tím se dostáváme k další výhodě, jíž je využití globálních příležitostí, které by jinak pro nás byly nedostupné.

VPN jsou také dobře škálovatelné a má smysl je budovat i kvůli jedinému počítači připojenému od „protinožců“. Což by pochopitelně v klasickém světě bylo něco naprosto nepředstavitelného.

Technologie VPN rozšiřují geografickou konektivitu. Nezáleží na tom, kde a jak jsou rozmístěné jednotlivé počítače či lokální sítě – všechny jsou spolehlivě (a zpravidla bezpečně) propojené.

VPN umožňují v rámci nezabezpečeného spojení předávat data bezpečně – a šifrovat data tam, kde by jinak proudila v otevřené podobě. A ještě v jedné oblasti jsou výrazným bezpečnostním přínosem: i vzdálené stanice či servery jsou díky VPN dobře přístupné, takže se administrátorům lépe spravují a bezpečnostní politika na nich se lépe vynucuje. Což by se opět v tradičním prostředí jen obtížně provádělo…

VPN dále výrazně zjednodušují topologii sítě. Pochopitelně, že zde jsou výjimky potvrzující pravidlo, ale v drtivé většině případů je zjednodušení správy a zrychlení provozu takřka „hmatatelné“.

V maximální možné míře také VPN umožňují využít stávající hardware a software, tedy dosavadní investice. Při expanzi nebo nasazování nových technologií (např. on-line přístup obchodních cestujících do databáze) není nutné dosavadní investice „oplakat“, nýbrž na nich lze stavět.

Kde nechal tesař díru?

Pokud jste z předešlých řádků nabyli dojmu, že VPN jsou takřka všeřešící, tak považujeme za povinnost upozornit na několik úskalí těchto technologií. Přestože klady VPN převládají, několik háčků na nich přece jen najdeme.

Především je třeba si uvědomit, že musíme velmi kvalitně zajistit bezpečnost na klientské straně. VPN se totiž skládají ze dvou hlavních částí, které můžeme označit jako „vnější“ a „vnitřní“. V zásadě se dá říci, že proti vnějším hrozbám jsou VPN chráněné dobře (ostatně, byly s tím i navrhované), u vnitřní části je to horší. Jinými slovy: pokud používáme silné šifrování (což je dnes fakticky samozřejmostí), pak vlastní proud dat po veřejné síti (internetu) je chráněný více než solidně. Ovšem běda, pokud se útočník dokáže dostat na některý z přístupových bodů k VPN.

Musíme tedy velmi dbát na fyzickou a administrativní bezpečnost. Je zapotřebí kvalitní „dohled“ nad klienty, nad jejich chováním, je nutné vynucovat bezpečnostní politiku… Jinak hrozí, že výhod VPN nebude těžit pouze organizace, ale také nezvaný útočník… (Běžný je např. požadavek, že každý zaměstnanec připojující se z domu musí instalovat hardwarový firewall.)

Z tohoto vyplývají i další omezení: administrátor musí bedlivě sledovat (pochopitelně pomocí vyhodnocovacích nástrojů) veškeré logy z provozu na síti, aby zavčas odhalil pokusy o průnik nebo dokonce vlastní průnik. Ne že by něco podobného nebylo v běžném prostředí nutné dělat, ale v oblasti VPN tato činnost výrazně nabývá na důležitosti.

Každý sebemenší bezpečnostní průnik nebo incident totiž ohrožuje celou síť organizace. A zvláště u velkých VPN sítí je to nepříjemné, protože v globálním světě stačí nepozornost nebo nezkušenost jednoho zaměstnance na jiném světadíle – a v ústředí společnosti mohou nastat nemalé problémy.

Zde je potřeba si také uvědomit nutnost správného vybudování celé architektury sítě, protože data předávaná pomocí VPN jsou pro ostatní prvky „neviditelná“ (nečitelná – díky šifrování).

Byť VPN v konečném důsledku zvyšuje bezpečnost při komunikaci pomocí internetu nebo jiné nedůvěryhodné sítě, tak se při špatném navržení architektury může stát ohrožením pro bezpečnost sítě lokální.

Každopádně: virtuální privátní sítě jsou velmi kvalitním nástrojem pro omezení rizik plynoucí z geografické roztříštěnosti informačních technologií – včetně mobility jednotlivých zařízení.