リモートワークが本格化

会社を評判や財務上のリスクにさらさず、IT 部門や会社経営にさらなる問題を引き起こすことなく、リモートの従業員が VPN 経由で確実に接続できる、安価で安全な方法について説明します。

ITの発展により、遠隔地の従業員をより多くのポジションに採用できるようになりました。

以前のリモートワーカーには、主にクリエイティブな職業の代表者がいた場合、たとえば、デザイナー、コピーライター、現在は会計士、法律顧問、その他の職業の多くの代表者は、必要な場合にのみオフィスを訪れ、自宅で簡単に仕事をすることができます。

しかし、いずれにせよ、安全なチャネルを通じて作業を組織する必要があります。

最も単純なオプション。 サーバー上に VPN をセットアップし、従業員にはログイン パスワードと VPN 証明書キーが与えられ、さらにコンピュータ上で VPN クライアントをセットアップする方法も説明されました。 そして IT 部門はその任務が完了したとみなします。

このアイデアは悪くないようですが、XNUMX つだけ例外があります。それは、すべてを自分で設定する方法を知っている従業員でなければならないということです。 資格のあるネットワークアプリケーション開発者について話している場合、彼はこのタスクに対処できる可能性が非常に高くなります。

しかし、会計士、アーティスト、デザイナー、テクニカル ライター、建築家、その他多くの職業は、VPN 設定の複雑さを必ずしも理解する必要はありません。 誰かがリモートで接続して手助けするか、直接来てその場ですべてをセットアップする必要があります。 したがって、ユーザー プロファイルの不具合やネットワーク クライアントの設定が失われたために何かが機能しなくなった場合は、すべてを最初から繰り返す必要があります。

一部の企業では、ソフトウェアがインストール済みのラップトップと、リモート作業用に構成された VPN ソフトウェア クライアントを提供しています。 理論上、この場合、ユーザーは管理者権限を持つべきではありません。 このようにして、XNUMX つの問題が解決されます。従業員には、自分の業務に合ったライセンス ソフトウェアと既製のコミュニケーション チャネルが提供されることが保証されます。 同時に、設定を自分で変更することはできないため、電話をかける頻度が減ります。
テクニカルサポート。

場合によっては、これが便利です。 たとえば、ラップトップがあれば、日中は自分の部屋に快適に座って、夜は誰にも起こされないように静かにキッチンで仕事をすることができます。

主な欠点は何ですか? プラスと同じ - 持ち運び可能なモバイルデバイスです。 ユーザーは XNUMX つのカテゴリーに分類されます。XNUMX つはパワーと大きなモニターを備えたデスクトップ PC を好むユーザー、もう XNUMX つは携帯性を好むユーザーです。

XNUMX 番目のグループのユーザーはラップトップに両手で投票します。 企業のラップトップを受け取ったそのような従業員は、それを持ってカフェやレストランに喜んで行き、自然に行き、そこから仕事をしようとします。 受け取ったデバイスをソーシャル ネットワークやその他のエンターテイメント用の自分のコンピューターとして使用するだけでなく、それが機能すればいいのですが。

遅かれ早かれ、企業のラップトップは、ハード ドライブ上の仕事情報とともに失われるだけでなく、設定されている VPN アクセスも失われます。 VPN クライアント設定で「パスワードを保存」チェックボックスがオンになっている場合、分数がカウントされます。 紛失がすぐに発見されなかったり、サポート サービスにすぐに通知されなかったり、ブロックする権利を持つ適切な従業員がすぐに見つからなかった場合、これは大きな災害に発展する可能性があります。

情報へのアクセスを制限することが役立つ場合もあります。 ただし、アクセスを制限することは、デバイスの紛失の問題を完全に解決することを意味するものではなく、データが開示されて侵害された場合の損失を軽減する方法にすぎません。

暗号化または USB キーなどの XNUMX 要素認証を使用できます。 一見、このアイデアは良いように見えますが、ラップトップが悪者の手に渡った場合、所有者は VPN 経由のアクセスを含め、データにアクセスするために懸命に努力する必要があります。 この間、企業ネットワークへのアクセスをブロックすることができます。 そして、リモート ユーザーには、ラップトップまたはアクセス キーのいずれか、またはすべてを一度にハッキングするという新たな機会が開かれます。 形式的には保護レベルが向上しましたが、テクニカル サポート サービスは退屈しません。 さらに、各リモート オペレーターは XNUMX 要素認証 (または暗号化) キットを購入する必要があります。

これとは別に、悲しく長い話として、ラップトップの紛失または破損 (床に投げたり、甘いお茶やコーヒーをこぼしたり、その他の事故) やアクセス キーの紛失に対する損害賠償請求があります。

ラップトップには、キーボード、USB コネクタ、スクリーン付きの蓋などの機械部品が含まれています。これらはすべて、時間の経過とともに耐用年数が摩耗し、変形し、緩むため、修理または交換する必要があります (ほとんどの場合、 、ラップトップ全体が交換されます）。

ならどうしよう？ ラップトップをアパートの外に持ち出して追跡することは固く禁じられています
動いていますか？

ではなぜ彼らはラップトップを配ったのでしょうか?

理由の XNUMX つは、ラップトップの方が移動が簡単であるということです。 何か別のものを考えてみましょう。これもコンパクトです。

ラップトップではなく、VPN 接続がすでに構成されている保護された LiveUSB フラッシュ ドライブを発行することができ、ユーザーは自分のコンピュータを使用することになります。 しかし、これは宝くじでもあります。ソフトウェア アセンブリがユーザーのコンピュータ上で実行されるかどうかです。 問題は、必要なドライバーが単に不足していることである可能性があります。

リモートで従業員の接続を調整する方法を理解する必要があり、その人が会社のラップトップを持って街を歩き回る誘惑に負けず、自宅に座って、忘れたり、忘れたりする危険がないように落ち着いて仕事をすることが望ましいです。預けたデバイスをどこかに紛失してしまう。

固定VPNアクセス

ラップトップなどのエンドデバイスや、特に接続用の別個のフラッシュ ドライブではなく、VPN クライアントを搭載したネットワーク ゲートウェイを提供する場合はどうなるでしょうか?

たとえば、VPN 接続がすでに構成されている、さまざまなプロトコルのサポートを含む既製のルーターです。 リモートの従業員は自分のコンピュータを接続するだけで仕事を始めることができます。

これはどのような問題の解決に役立ちますか?

1. VPN 経由で企業ネットワークへのアクセスが構成されている機器は、家の外に持ち出されません。
2. 複数のデバイスを XNUMX つの VPN チャネルに接続できます。

ラップトップを持ってアパート内を移動できるのは良いことだと上ですでに書きましたが、多くの場合、デスクトップ コンピューターを使って作業する方が簡単で便利です。

また、Wi-Fi または有線イーサネット経由のアクセスをサポートするものであれば、PC、ラップトップ、スマートフォン、タブレット、さらには電子書籍リーダーをルーター上の VPN に接続できます。

状況をより広く見ると、これは、たとえば、複数人が働くことができるミニオフィスの接続ポイントである可能性があります。

このような保護されたセグメント内では、接続されたデバイスが情報を交換したり、インターネットに通常アクセスしながらファイル共有リソースのようなものを整理したり、印刷用のドキュメントを外部プリンタに送信したりすることができます。

社内電話！ このサウンドには、真空管のどこかで鳴っているものがたくさんあります。 複数のデバイス用の集中型 VPN チャネルを使用すると、Wi-Fi ネットワーク経由でスマートフォンに接続し、IP テレフォニーを使用して企業ネットワーク内の短縮番号に電話をかけることができます。

それ以外の場合は、携帯電話をかけるか、WhatsApp などの外部アプリケーションを使用する必要がありますが、これは企業のセキュリティ ポリシーと必ずしも一致するとは限りません。

そして、私たちは安全性について話しているので、もう一つの重要な事実に注目する価値があります。 ハードウェア VPN ゲートウェイを使用すると、イングレス ゲートウェイの新しい制御機能を使用してセキュリティを強化できます。 これにより、セキュリティを強化し、トラフィック保護の負荷の一部をネットワーク ゲートウェイに移すことができます。

この場合、Zyxel はどのような解決策を提供できるでしょうか?

私たちは、リモート勤務が可能でリモート勤務を希望するすべての従業員に、一時的に使用するためにデバイスを支給することを検討しています。

したがって、そのようなデバイスは次のようにする必要があります。

• 安価な;
• 信頼性が高い（修理にお金と時間を無駄にしないため）。
• 小売店チェーンで購入可能。
• セットアップが簡単 (特に呼び出しを行わずに使用することを目的としています)
  訓練を受けた専門家）。

あまり現実的ではありませんよね？

しかし、そのようなデバイスは存在し、実際に存在し、無料です
販売のため
- ザイクセル ZyWALL VPN2S

VPN2S は、プライベート接続の使用を可能にする VPN ファイアウォールです。
ネットワークパラメータの複雑な設定なしでポイントツーポイントを実現します。

図 1. Zyxel ZyWALL VPN2S の外観

デバイスの簡単な仕様

ハードウェアの機能

10/100/1000 Mbps RJ-45 ポート
LAN×3、WAN/LAN×1、WAN×1

USBポート
2のx USB 2.0

ファンなし
はい

システム容量とパフォーマンス

SPI ファイアウォールのスループット (Mbps)
1.5 Gbps

VPN帯域幅(Mbps)
35

同時セッションの最大数。 TCP
50000

同時 IPsec VPN トンネルの最大数 [5] 20

カスタマイズ可能なゾーン
はい

IPv6のサポート
はい

VLAN の最大数
16

ソフトウェアの主な機能

マルチ WAN ロード バランス/フェイルオーバー
はい

仮想プライベートネットワーク（VPN）
はい (IPSec、L2TP over IPSec、PPTP、L2TP、GRE)

VPNクライアント
IPSec/L2TP/PPTP

コンテンツフィルタリング
1年間無料

ファイアウォール
はい

VLAN/インターフェースグループ
はい

帯域幅管理
はい

イベントログと監視
はい

クラウドヘルパー
はい

リモコン
はい

注意してください。 表のデータは、OPAL BE マイクロコード 1.12 以降に基づいています。
後のバージョン。

ZyWALL VPN2S でサポートされている VPN オプション

実際、名前から、ZyWALL VPN2S デバイスは主に
リモートの従業員とミニブランチを VPN 経由で接続するように設計されています。

• L2TP Over IPSec VPN プロトコルはエンド ユーザーに提供されます。
• ミニオフィスを接続するために、Site-to-Site IPSec VPN を介した通信が提供されます。
• また、ZyWALL VPN2S を使用すると、L2TP VPN 接続を構築できます。
  安全なインターネット アクセスのためのサービス プロバイダー。

この分割は非常に条件付きであることに注意してください。 たとえば、次のことができます
リモート ポイントは、単一のサイト間 IPSec VPN 接続を設定します。
境界内のユーザー。

もちろん、これらはすべて厳密な VPN アルゴリズム (IKEv2 および SHA-2) を使用しています。

複数のWANの使用

リモートワークでは、安定したチャンネルを確保することが重要です。 残念ながら、唯一の
たとえ最も信頼できるプロバイダーの通信回線であっても、これを保証することはできません。

問題は次の XNUMX つのタイプに分類できます。

• 速度の低下 - マルチ WAN 負荷分散機能がこれを解決します。
  必要な速度で安定した接続を維持します。
• チャネル上の障害 - この目的のために、マルチ WAN フェイルオーバー機能が使用されます。
  二重化方式を使用して耐障害性を確保します。

これにはどのようなハードウェア機能がありますか:

• XNUMX 番目の LAN ポートは追加の WAN ポートとして構成できます。
• USB ポートを使用して 3G/4G モデムを接続できます。
  セルラー通信の形式のバックアップ チャネル。

ネットワークセキュリティの強化

上で述べたように、これは特別な機能を使用する主な利点の XNUMX つです。
集中管理されたデバイス。

ZyWALL VPN2S は SPI (ステートフル パケット インスペクション) ファイアウォール機能を備えており、DoS (サービス拒否)、なりすまし IP アドレスを使用した攻撃、システムへの不正なリモート アクセス、不審なネットワーク トラフィックやパッケージなど、さまざまな種類の攻撃に対抗できます。

追加の保護として、デバイスにはコンテンツ フィルタリングがあり、不審なコンテンツ、危険なコンテンツ、無関係なコンテンツへのユーザー アクセスをブロックします。

セットアップウィザードによる迅速かつ簡単な 5 ステップのセットアップ

接続をすばやくセットアップするには、便利なセットアップ ウィザードとグラフィカルなツールがあります。
複数の言語のインターフェース。

図 2. セットアップ ウィザード画面の XNUMX つの例。

迅速かつ効率的な管理のために、Zyxel は、VPN2S を簡単に構成して監視できるリモート管理ユーティリティの完全なパッケージを提供します。

設定を複製できる機能により、遠隔地の従業員に転送するための複数の ZyWALL VPN2S デバイスの準備が大幅に簡素化されます。

VLANのサポート

ZyWALL VPN2S はリモート作業用に設計されているにもかかわらず、VLAN をサポートしています。 これにより、たとえば、ゲスト Wi-Fi を備えた個人起業家のオフィスが接続されている場合、ネットワーク セキュリティを強化できます。 ブロードキャスト ドメインの制限、送信トラフィックの削減、セキュリティ ポリシーの適用などの標準的な VLAN 機能は、企業ネットワークで需要がありますが、原則として中小企業でも使用できます。

VLAN サポートは、IP テレフォニーなどの別個のネットワークを構成する場合にも役立ちます。

VLAN での動作を保証するために、ZyWALL VPN2S デバイスは IEEE 802.1Q 標準をサポートしています。

要約

VPN チャネルが設定されているモバイル デバイスを紛失するリスクを回避するには、企業のラップトップを配布する以外のソリューションが必要です。

コンパクトで安価な VPN ゲートウェイを使用すると、リモート従業員の作業を簡単に整理できます。

ZyWALL VPN2S モデルは、もともとリモート ワーカーと小規模オフィスを接続するために設計されました。

便利なリンク集

→ Zyxel VPN2S – ビデオ
→ Zyxel 公式 Web サイトの ZyWALL VPN2S ページ
→ テスト: 小規模オフィス ソリューション VPN2S + WiFi アクセス ポイント
→ 電報チャット「ジクセルクラブ」
→ 電報チャンネル「Zyxel News」

出所： habr.com