あなたの VPN はどれくらい安全ですか?
常に重要な仮想プライベート ネットワーク (VPN) セキュリティは、現在の COVID-19 パンデミックを考えると、今や必須となっています。 リモートワークは急速に新しい標準となり、それに応じて VPN 機能の需要が急増しました。 残念ながら、予想通り、VPN への攻撃も急増しています。 その深刻さを強調するため、米国国土安全保障省のサイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) は 3 月に、エンタープライズ VPN セキュリティに関するアラート AA20-073Aを発行しました。
基本的に、VPN は企業ネットワークの境界を拡張し、ユーザーがどこからでも企業applicationsにアクセスできるようにします。 オンプレミスのインフラストラクチャは、実質的にユーザー デバイスから「ワンホップ」(またはワンクリック)の距離になります。 同様に、企業資産に対するセキュリティリスクもワンホップで解消されます。 攻撃者は、境界セキュリティの高度なレイヤー (プロキシ、WAF、侵入検知など) を侵害する必要はなくなるかもしれませんが、VPN の単一の脆弱性や安全でない実装によって、企業の資産や個人情報が漏洩する可能性があります。
この記事では、VPN のセキュリティを評価する上で重要ないくつかの主要な領域に焦点を当てます。
エンドポイントセキュリティ体制
通常、ユーザーはデスクトップ、ラップトップ、モバイルなどのエンドポイント デバイスから SSL VPN トンネルを開始します。 これらのエンドポイントは、侵入ポイントとなると同時に、攻撃ベクトルとして使用しようとする悪意のある人物にとっての主要なターゲットにもなります。 したがって、VPN トンネルを確立する前に、エンドポイントが安全であることを常に確認することが重要です。 エンドポイント セキュリティは、ネットワークへのリモート アクセス接続が許可される前に、クライアント デバイスがセキュリティ リスクをもたらさないことを保証するための戦略的なアプローチです。 このような戦略には、クライアント マシン証明書の体系的な検証、クライアントの種類やクライアント ブラウザーのバージョンの検証、スパイウェア対策ソフトウェアやウイルス対策ソフトウェアのパッチ検証、クライアント ファイアウォール ルールの検査などが含まれる場合があります。
エンドポイント セキュリティ ポスチャの評価は、通常、VPN トンネルを確立する前のセッション開始時に行われますが、ユーザーの VPN セッション中に定期的に行われる場合もあります。 継続的なエンドポイント セキュリティ ポスチャ評価により、最初の VPN トンネルが確立された後にエンドポイントが侵害されていないことを確認することで、その後のリスクを軽減します。
ユーザー認証と承認
認証は、VPN トンネルを確立する前にユーザーの ID を確認することです。 リモートワーカーの資格情報を検証することで、正当なユーザーだけが内部リソースとapplicationsにアクセスできるようになります。
しかし、クレデンシャル スタッフィングやアカウント乗っ取り (ATO) 手法の増加により、攻撃者は表面上は有効なユーザー クレデンシャルを所有し、単一要素認証をバイパスする可能性があります。 したがって、VPN に多要素認証を実装することが不可欠になります。
多要素認証 (MFA)
MFA は、VPN トンネルを確立する前に、ユーザーに 2 つ以上の検証可能な認証要素の提供を要求することでセキュリティを強化します。 業界の推定によると、このアプローチにより、MFA はアカウント乗っ取り (ATO) 攻撃の 99.9% を効果的にブロックできるようになります。 一般的な認証要素は次のとおりです。
- パスワード、PIN、タッチパッドのジェスチャなど、ユーザーが知っているもの
- ユーザーが所有するもの(物理トークン、ソフトウェアトークン、証明書など)
- ユーザーが何か、つまり指紋、網膜スキャン、顔認識、音声認識などの生体認証入力を意味します。
ユーザーが認証されると、承認ポリシーはユーザーの権限セットを評価して、内部リソースおよびapplicationsへの特定のアクセスを許可し、適切な制限を適用します。 アクセスは、ロールベースのアクセス制御 (RBAC) などのさまざまな権限モデルを使用して許可されます。 VPN トンネルの確立中に ACL などの追加のセキュリティ制御を実装することにより、VPN ユーザーに対して特定の権限と設定を適用できます。
データの機密性と完全性
暗号化により、企業データが VPN トンネルを介して共有ネットワークまたはパブリック ネットワーク経由で送信される際に、データの機密性と整合性が確保されます。
機密データを漏洩させるために、悪意のある行為者は秘密鍵を盗んだり、暗号化実装の既知の脆弱性を悪用したり、弱い暗号化パラメータを破ったりする可能性があります。
SSL VPN を構成するときは、キー交換管理と暗号化暗号の強度を考慮する必要があります。 TLS1.3 より前のバージョンには、プロトコルの定義とその実装に既知の欠陥が含まれています。 その他のエクスプロイトには、クライアントの再ネゴシエーションの悪用や、RC4 ストリームや輸出グレードの暗号などの弱い暗号化プリミティブの使用が含まれます。
VPN への DDoS 攻撃
従業員のほとんどまたは全員がリモートワーカーである場合、VPN サーバー (VPN コンセントレータと呼ばれることもあります) の可用性もビジネスの継続性にとって重要になります。 逆に、VPN サーバーは、ランダムに分散された自動リクエストで VPN サーバーを圧倒し、正当なユーザーが VPN を利用できないようにしようとする悪意のある攻撃者にとって主要なターゲットになる可能性があります。
SSL VPN は、IP アドレス/URL (Web ブラウザ内または VPN クライアントで構成) を介してアクセス可能であるため、HTTP フラッド、SSL フラッド、SSL 再ネゴシエーション、TCP ブレンド攻撃など、Web サーバーを標的とする同じ DDoS 攻撃パターンの影響を受けやすくなります。
したがって、VPN を通じてビジネスの継続性を確保するには、より広範なセキュリティ戦略の一環として、DDoS 攻撃を検出して軽減するように VPN を構成することが不可欠な場合があります。
その他のリソース: