เราจะบอกคุณเกี่ยวกับวิธีที่ไม่แพงและปลอดภัยเพื่อให้แน่ใจว่าพนักงานที่อยู่ห่างไกลจะเชื่อมต่อผ่าน VPN โดยไม่ทำให้บริษัทเสี่ยงต่อชื่อเสียงหรือทางการเงิน และไม่สร้างปัญหาเพิ่มเติมให้กับแผนกไอทีและการจัดการบริษัท
ด้วยการพัฒนาด้านไอที ทำให้สามารถดึงดูดพนักงานที่อยู่ห่างไกลให้เข้ามารับตำแหน่งต่างๆ ได้มากขึ้น
หากก่อนหน้านี้ในหมู่คนทำงานระยะไกลนั้น ส่วนใหญ่จะมีตัวแทนของอาชีพสร้างสรรค์ เช่น นักออกแบบ นักเขียนคำโฆษณา ปัจจุบันเป็นนักบัญชี ที่ปรึกษากฎหมาย และตัวแทนของอาชีพอื่นๆ จำนวนมากสามารถทำงานจากที่บ้านได้อย่างง่ายดาย โดยไปที่สำนักงานเมื่อจำเป็นเท่านั้น
แต่อย่างไรก็ตามจำเป็นต้องจัดระเบียบงานผ่านช่องทางที่ปลอดภัย
ตัวเลือกที่ง่ายที่สุด เราตั้งค่า VPN บนเซิร์ฟเวอร์ พนักงานจะได้รับรหัสผ่านเข้าสู่ระบบและคีย์ใบรับรอง VPN รวมถึงคำแนะนำในการตั้งค่าไคลเอนต์ VPN บนคอมพิวเตอร์ของเขา และฝ่ายไอทีถือว่างานของตนเสร็จสิ้นแล้ว
แนวคิดนี้ดูเหมือนจะไม่เลวเลย ยกเว้นสิ่งหนึ่ง: ต้องเป็นพนักงานที่รู้วิธีกำหนดค่าทุกอย่างด้วยตัวเอง หากเรากำลังพูดถึงนักพัฒนาแอปพลิเคชันเครือข่ายที่มีคุณสมบัติเหมาะสม มีโอกาสมากที่เขาจะรับมือกับงานนี้ได้
แต่นักบัญชี ศิลปิน นักออกแบบ นักเขียนด้านเทคนิค สถาปนิก และอาชีพอื่นๆ ไม่จำเป็นต้องเข้าใจความซับซ้อนของการตั้งค่า VPN อาจต้องมีใครสักคนเชื่อมต่อกับพวกเขาจากระยะไกลและช่วยเหลือ หรือเข้ามาด้วยตนเองและจัดเตรียมทุกอย่างให้ตรงจุด ดังนั้น หากมีบางอย่างหยุดทำงาน เช่น เนื่องจากความผิดพลาดในโปรไฟล์ผู้ใช้ การตั้งค่าไคลเอ็นต์เครือข่ายจึงหายไป ดังนั้นทุกอย่างจะต้องทำซ้ำอีกครั้ง
บริษัทบางแห่งจัดหาแล็ปท็อปที่ติดตั้งซอฟต์แวร์ไว้แล้วและไคลเอนต์ซอฟต์แวร์ VPN ที่กำหนดค่าไว้สำหรับการทำงานระยะไกล ตามทฤษฎีแล้ว ในกรณีนี้ ผู้ใช้ไม่ควรมีสิทธิ์ของผู้ดูแลระบบ ด้วยวิธีนี้ ปัญหาสองประการได้รับการแก้ไข: พนักงานจะได้รับการรับประกันว่าจะได้รับซอฟต์แวร์ลิขสิทธิ์ที่เหมาะสมกับงานของพวกเขาและช่องทางการสื่อสารที่พร้อมใช้งาน ขณะเดียวกันก็ไม่สามารถเปลี่ยนการตั้งค่าได้เอง ทำให้ความถี่ในการโทรลดลง
การสนับสนุนทางเทคนิค.
ในบางกรณีก็สะดวก ตัวอย่างเช่น การมีแล็ปท็อป คุณสามารถนั่งในห้องได้อย่างสบายในระหว่างวัน และทำงานในครัวอย่างเงียบๆ ในเวลากลางคืนเพื่อไม่ให้ใครตื่น
ข้อเสียเปรียบหลักคืออะไร? เช่นเดียวกับข้อดี - เป็นอุปกรณ์พกพาที่สามารถพกพาได้ ผู้ใช้แบ่งออกเป็นสองประเภท: ผู้ที่ชื่นชอบเดสก์ท็อปพีซีที่ใช้พลังงานและจอภาพขนาดใหญ่ และผู้ที่ชื่นชอบการพกพา
ผู้ใช้กลุ่มที่สองลงคะแนนด้วยมือทั้งสองข้างเพื่อซื้อแล็ปท็อป เมื่อได้รับแล็ปท็อปขององค์กรแล้ว พนักงานดังกล่าวก็เริ่มสนุกสนานไปกับการไปร้านกาแฟ ร้านอาหาร เที่ยวชมธรรมชาติ และลองทำงานจากที่นั่น ถ้ามันใช้งานได้ ไม่ใช่แค่ใช้อุปกรณ์ที่ได้รับเป็นคอมพิวเตอร์ของคุณเองสำหรับโซเชียลเน็ตเวิร์กและความบันเทิงอื่น ๆ
ไม่ช้าก็เร็ว แล็ปท็อปขององค์กรจะสูญหายไม่เพียงแต่พร้อมกับข้อมูลงานในฮาร์ดไดรฟ์ แต่ยังรวมถึงการเข้าถึง VPN ที่กำหนดค่าไว้ด้วย หากมีการทำเครื่องหมายในช่อง “บันทึกรหัสผ่าน” ในการตั้งค่าไคลเอนต์ VPN ระบบจะนับนาที ในสถานการณ์ที่ไม่พบการสูญเสียในทันที บริการสนับสนุนจะไม่ได้รับแจ้งทันที หรือไม่พบพนักงานที่เหมาะสมที่มีสิทธิ์ในการบล็อกในทันที สิ่งนี้อาจกลายเป็นหายนะครั้งใหญ่ได้
บางครั้งการจำกัดการเข้าถึงข้อมูลก็ช่วยได้ แต่การจำกัดการเข้าถึงไม่ได้หมายถึงการแก้ปัญหาการสูญเสียอุปกรณ์ได้อย่างสมบูรณ์ แต่เป็นเพียงวิธีหนึ่งในการลดการสูญเสียเมื่อมีการเปิดเผยและบุกรุกข้อมูล
คุณสามารถใช้การเข้ารหัสหรือการตรวจสอบสิทธิ์แบบสองปัจจัยได้ เช่น ด้วยคีย์ USB ภายนอกแนวคิดนี้ดูดี แต่ตอนนี้หากแล็ปท็อปตกอยู่ในมือของคนผิด เจ้าของจะต้องทำงานอย่างหนักเพื่อเข้าถึงข้อมูล รวมถึงการเข้าถึงผ่าน VPN ในช่วงเวลานี้ คุณสามารถจัดการบล็อกการเข้าถึงเครือข่ายองค์กรได้ และโอกาสใหม่ ๆ ก็เปิดขึ้นสำหรับผู้ใช้ระยะไกล: แฮ็กแล็ปท็อปหรือคีย์การเข้าถึงหรือทั้งหมดในครั้งเดียว อย่างเป็นทางการระดับการป้องกันได้เพิ่มขึ้น แต่บริการสนับสนุนด้านเทคนิคจะไม่เบื่อ นอกจากนี้ ผู้ให้บริการระยะไกลแต่ละรายจะต้องซื้อชุดตรวจสอบสิทธิ์แบบสองปัจจัย (หรือการเข้ารหัส)
เรื่องที่น่าเศร้าและเรื่องยาวอีกเรื่องหนึ่งคือการรวบรวมความเสียหายสำหรับแล็ปท็อปที่สูญหายหรือชำรุด (ถูกโยนลงบนพื้น ทำชาหวาน กาแฟหกใส่ และอุบัติเหตุอื่นๆ) และกุญแจเข้าใช้งานที่สูญหาย
เหนือสิ่งอื่นใด แล็ปท็อปประกอบด้วยชิ้นส่วนกลไก เช่น แป้นพิมพ์ ขั้วต่อ USB และฝาปิดพร้อมหน้าจอ ซึ่งทั้งหมดนี้เสื่อมสภาพตามอายุการใช้งาน มีรูปร่างผิดปกติ หลวม และต้องได้รับการซ่อมแซมหรือเปลี่ยนใหม่ (โดยส่วนใหญ่แล้ว แล็ปท็อปทั้งหมดจะถูกเปลี่ยน)
แล้วตอนนี้ล่ะ? ห้ามมิให้นำแล็ปท็อปออกจากอพาร์ตเมนต์และติดตามโดยเด็ดขาด
ย้ายเหรอ?
ทำไมพวกเขาถึงแจกแล็ปท็อป?
เหตุผลหนึ่งก็คือแล็ปท็อปสามารถถ่ายโอนได้ง่ายกว่า ลองคิดอย่างอื่นบ้างก็กะทัดรัดเช่นกัน
คุณไม่สามารถออกแล็ปท็อปได้ แต่ได้รับแฟลชไดรฟ์ LiveUSB ที่มีการป้องกันด้วยการเชื่อมต่อ VPN ที่กำหนดค่าไว้แล้วและผู้ใช้จะใช้คอมพิวเตอร์ของเขาเอง แต่นี่ก็เป็นลอตเตอรีด้วย: ชุดซอฟต์แวร์จะทำงานบนคอมพิวเตอร์ของผู้ใช้หรือไม่? ปัญหาอาจเกิดจากการขาดไดรเวอร์ที่จำเป็น
เราต้องหาวิธีจัดระเบียบการเชื่อมต่อของพนักงานจากระยะไกลและเป็นที่พึงปรารถนาที่บุคคลนั้นจะไม่ยอมแพ้ต่อการล่อลวงให้เดินไปรอบ ๆ เมืองด้วยแล็ปท็อปขององค์กร แต่นั่งอยู่ที่บ้านและทำงานอย่างสงบโดยไม่เสี่ยงต่อการลืมหรือ สูญเสียอุปกรณ์ที่มอบหมายให้เขาไปที่ไหนสักแห่ง
การเข้าถึง VPN แบบคงที่
จะเป็นอย่างไรหากคุณไม่ได้จัดเตรียมอุปกรณ์ปลายทาง เช่น แล็ปท็อป หรือโดยเฉพาะอย่างยิ่งไม่มีแฟลชไดรฟ์แยกต่างหากสำหรับการเชื่อมต่อ แต่เป็นเกตเวย์เครือข่ายที่มีไคลเอนต์ VPN บนเครื่อง
ตัวอย่างเช่น เราเตอร์สำเร็จรูปที่มีการรองรับโปรโตคอลต่างๆ ซึ่งมีการกำหนดค่าการเชื่อมต่อ VPN ไว้แล้ว พนักงานที่อยู่ห่างไกลเพียงต้องเชื่อมต่อคอมพิวเตอร์เข้ากับเครื่องแล้วเริ่มทำงาน
สิ่งนี้ช่วยแก้ปัญหาอะไรบ้าง?
- อุปกรณ์ที่กำหนดค่าการเข้าถึงเครือข่ายองค์กรผ่าน VPN จะไม่ถูกนำออกจากบ้าน
- คุณสามารถเชื่อมต่ออุปกรณ์หลายเครื่องเข้ากับช่อง VPN เดียวได้
เราได้เขียนไว้ข้างต้นแล้วว่าการเคลื่อนย้ายแล็ปท็อปไปรอบๆ อพาร์ทเมนต์เป็นเรื่องดี แต่การทำงานกับคอมพิวเตอร์เดสก์ท็อปมักจะง่ายกว่าและสะดวกกว่า
และคุณสามารถเชื่อมต่อพีซี แล็ปท็อป สมาร์ทโฟน แท็บเล็ต และแม้แต่เครื่องอ่านอิเล็กทรอนิกส์เข้ากับ VPN บนเราเตอร์ได้ อะไรก็ได้ที่รองรับการเข้าถึงผ่าน Wi-Fi หรืออีเธอร์เน็ตแบบมีสาย
หากคุณมองสถานการณ์ให้กว้างขึ้น นี่อาจเป็นจุดเชื่อมต่อสำหรับมินิออฟฟิศที่สามารถทำงานได้หลายคน
ภายในส่วนที่ได้รับการป้องกัน อุปกรณ์ที่เชื่อมต่อสามารถแลกเปลี่ยนข้อมูล คุณสามารถจัดระเบียบบางอย่าง เช่น ทรัพยากรการแชร์ไฟล์ ในขณะที่สามารถเข้าถึงอินเทอร์เน็ตได้ตามปกติ ส่งเอกสารสำหรับการพิมพ์ไปยังเครื่องพิมพ์ภายนอก และอื่นๆ
โทรศัพท์บริษัท! มีเสียงมากมายที่ฟังดูอยู่ที่ไหนสักแห่งในหลอด! ช่อง VPN แบบรวมศูนย์สำหรับอุปกรณ์หลายเครื่องช่วยให้คุณสามารถเชื่อมต่อสมาร์ทโฟนผ่านเครือข่าย Wi-Fi และใช้ระบบโทรศัพท์ IP เพื่อโทรไปยังหมายเลขสั้นๆ ภายในเครือข่ายองค์กร
มิฉะนั้น คุณจะต้องโทรผ่านมือถือหรือใช้แอปพลิเคชันภายนอก เช่น WhatsApp ซึ่งไม่สอดคล้องกับนโยบายความปลอดภัยขององค์กรเสมอไป
และเนื่องจากเรากำลังพูดถึงเรื่องความปลอดภัยจึงควรสังเกตข้อเท็จจริงที่สำคัญอีกประการหนึ่ง ด้วยฮาร์ดแวร์เกตเวย์ VPN คุณสามารถเพิ่มความปลอดภัยของคุณได้โดยใช้คุณสมบัติการควบคุมใหม่บนเกตเวย์ทางเข้า สิ่งนี้ช่วยให้คุณเพิ่มความปลอดภัยและเปลี่ยนภาระการป้องกันการรับส่งข้อมูลบางส่วนไปยังเกตเวย์เครือข่าย
Zyxel สามารถเสนอวิธีแก้ปัญหาใดได้บ้างสำหรับกรณีนี้?
เรากำลังพิจารณาอุปกรณ์ที่ควรออกเพื่อใช้งานชั่วคราวให้กับพนักงานทุกคนที่สามารถและต้องการทำงานจากระยะไกลได้
ดังนั้นอุปกรณ์ดังกล่าวควรเป็น:
- ราคาไม่แพง;
- เชื่อถือได้ (เพื่อไม่ให้เสียเงินและเวลาในการซ่อมแซม)
- มีวางจำหน่ายในเครือข่ายค้าปลีก
- ติดตั้งง่าย (ตั้งใจให้ใช้งานโดยไม่ต้องโทรโดยเฉพาะ
ผู้เชี่ยวชาญที่ผ่านการฝึกอบรม)
ฟังดูไม่ค่อยสมจริงใช่ไหม?
อย่างไรก็ตาม อุปกรณ์ดังกล่าวมีอยู่จริง และฟรี
- ไซเซล ZyWALL VPN2S
VPN2S เป็นไฟร์วอลล์ VPN ที่ให้คุณใช้การเชื่อมต่อส่วนตัวได้
แบบจุดต่อจุดโดยไม่ต้องกำหนดค่าพารามิเตอร์เครือข่ายที่ซับซ้อน
รูปที่ 1. ลักษณะที่ปรากฏของ Zyxel ZyWALL VPN2S
ข้อมูลจำเพาะของอุปกรณ์โดยย่อ
คุณสมบัติด้านฮาร์ดแวร์
พอร์ต RJ-10 ความเร็ว 100/1000/45 Mbps
3 x แลน, 1 x WAN/แลน, 1 x WAN
พอร์ต USB
2 2.0 x USB
ไม่มีแฟน
มี
ความจุและประสิทธิภาพของระบบ
ปริมาณงานไฟร์วอลล์ SPI (Mbps)
1.5 Gbps
แบนด์วิธ VPN (Mbps)
35
จำนวนเซสชันพร้อมกันสูงสุด TCP
50000
จำนวนสูงสุดของอุโมงค์ IPsec VPN พร้อมกัน [5] 20
โซนที่ปรับแต่งได้
มี
รองรับ IPv6
มี
จำนวน VLAN สูงสุด
16
คุณสมบัติซอฟต์แวร์หลัก
โหลดบาลานซ์/เฟลโอเวอร์แบบ Multi-WAN
มี
เครือข่ายส่วนตัวเสมือน (VPN)
ใช่ (IPSec, L2TP บน IPSec, PPTP, L2TP, GRE)
ไคลเอนต์ VPN
IPSec/L2TP/PPTP
การกรองเนื้อหา
ฟรี 1 ปี
ไฟร์วอลล์
มี
VLAN/กลุ่มอินเทอร์เฟซ
มี
การจัดการแบนด์วิธ
มี
บันทึกเหตุการณ์และการตรวจสอบ
มี
ตัวช่วยคลาวด์
มี
รีโมท
มี
หมายเหตุ ข้อมูลในตารางเป็นไปตามไมโครโค้ด OPAL BE 1.12 หรือสูงกว่า
รุ่นที่ใหม่กว่า
ZyWALL VPN2S รองรับตัวเลือก VPN ใดบ้าง
จริงๆ แล้วจากชื่อก็ชัดเจนว่าอุปกรณ์ ZyWALL VPN2S เป็นหลัก
ออกแบบมาเพื่อเชื่อมต่อพนักงานระยะไกลและสาขาขนาดเล็กผ่าน VPN
- โปรโตคอล L2TP Over IPSec VPN มีให้สำหรับผู้ใช้ปลายทาง
- ในการเชื่อมต่อสำนักงานขนาดเล็ก จะมีการเชื่อมต่อ Site-to-Site IPSec VPN
- นอกจากนี้ การใช้ ZyWALL VPN2S คุณสามารถสร้างการเชื่อมต่อ L2TP VPN ได้
ผู้ให้บริการเพื่อการเข้าถึงอินเทอร์เน็ตที่ปลอดภัย
ควรสังเกตว่าการแบ่งส่วนนี้มีเงื่อนไขมาก ตัวอย่างเช่นคุณสามารถ
จุดระยะไกลกำหนดค่าการเชื่อมต่อ IPSec VPN แบบ Site-to-Site ด้วยการเชื่อมต่อเดียว
ผู้ใช้ภายในขอบเขต
แน่นอนว่าทั้งหมดนี้ใช้อัลกอริธึม VPN ที่เข้มงวด (IKEv2 และ SHA-2)
การใช้ WAN หลายตัว
ในการทำงานทางไกลสิ่งสำคัญคือต้องมีช่องทางที่มั่นคง น่าเสียดายด้วยเท่านั้น
สิ่งนี้ไม่สามารถรับประกันได้ด้วยสายการสื่อสารแม้จะมาจากผู้ให้บริการที่น่าเชื่อถือที่สุดก็ตาม
ปัญหาสามารถแบ่งออกเป็นสองประเภท:
- ความเร็วลดลง - ฟังก์ชั่นปรับสมดุลโหลด Multi-WAN จะช่วยในเรื่องนี้
รักษาการเชื่อมต่อที่เสถียรด้วยความเร็วที่ต้องการ - ความล้มเหลวบนช่องสัญญาณ - เพื่อจุดประสงค์นี้จึงใช้ฟังก์ชันการเฟลโอเวอร์แบบ Multi-WAN
มั่นใจได้ถึงความทนทานต่อข้อผิดพลาดโดยใช้วิธีการทำซ้ำ
มีความสามารถด้านฮาร์ดแวร์อะไรบ้างสำหรับสิ่งนี้:
- พอร์ต LAN ที่สี่สามารถกำหนดค่าเป็นพอร์ต WAN เพิ่มเติมได้
- พอร์ต USB สามารถใช้เชื่อมต่อโมเด็ม 3G/4G ซึ่งมีให้
ช่องทางสำรองในรูปแบบของการสื่อสารเคลื่อนที่
ความปลอดภัยของเครือข่ายที่เพิ่มขึ้น
ดังที่ได้กล่าวมาแล้วนี่คือหนึ่งในข้อดีหลักของการใช้แบบพิเศษ
อุปกรณ์รวมศูนย์
ZyWALL VPN2S มีฟังก์ชันไฟร์วอลล์ SPI (Stateful Packet Inspection) เพื่อตอบโต้การโจมตีประเภทต่างๆ รวมถึง DoS (Denial of Service) การโจมตีโดยใช้ที่อยู่ IP ปลอมแปลง เช่นเดียวกับการเข้าถึงระบบจากระยะไกลโดยไม่ได้รับอนุญาต การรับส่งข้อมูลเครือข่ายและแพ็คเกจที่น่าสงสัย
เพื่อเป็นการป้องกันเพิ่มเติม อุปกรณ์มีการกรองเนื้อหาเพื่อบล็อกผู้ใช้เข้าถึงเนื้อหาที่น่าสงสัย อันตราย และไม่เกี่ยวข้อง
การตั้งค่า 5 ขั้นตอนที่ง่ายและรวดเร็วด้วยวิซาร์ดการตั้งค่า
หากต้องการตั้งค่าการเชื่อมต่ออย่างรวดเร็ว มีวิซาร์ดการตั้งค่าและกราฟิกที่สะดวก
อินเทอร์เฟซในหลายภาษา
รูปที่ 2 ตัวอย่างของหนึ่งในหน้าจอวิซาร์ดการตั้งค่า
เพื่อการจัดการที่รวดเร็วและมีประสิทธิภาพ Zyxel นำเสนอแพ็คเกจยูทิลิตี้การดูแลระบบระยะไกลที่สมบูรณ์ซึ่งคุณสามารถกำหนดค่า VPN2S และตรวจสอบได้อย่างง่ายดาย
ความสามารถในการทำซ้ำการตั้งค่าช่วยลดความยุ่งยากในการเตรียมอุปกรณ์ ZyWALL VPN2S หลายเครื่องเพื่อถ่ายโอนไปยังพนักงานระยะไกล
รองรับวีแลน
แม้ว่า ZyWALL VPN2S จะได้รับการออกแบบสำหรับการทำงานระยะไกล แต่ก็รองรับ VLAN วิธีนี้ช่วยให้คุณเพิ่มความปลอดภัยเครือข่ายได้ เช่น หากสำนักงานของผู้ประกอบการแต่ละรายเชื่อมต่อกันซึ่งมี Wi-Fi สำหรับแขก ฟังก์ชัน VLAN มาตรฐาน เช่น การจำกัดโดเมนการออกอากาศ ลดการรับส่งข้อมูล และการใช้นโยบายความปลอดภัย เป็นที่ต้องการในเครือข่ายองค์กร แต่โดยหลักการแล้ว ฟังก์ชันเหล่านี้ยังสามารถใช้ในธุรกิจขนาดเล็กได้เช่นกัน
การสนับสนุน VLAN ยังมีประโยชน์สำหรับการจัดเครือข่ายแยกกัน เช่น สำหรับระบบโทรศัพท์ IP
เพื่อให้มั่นใจถึงการทำงานด้วย VLAN อุปกรณ์ ZyWALL VPN2S รองรับมาตรฐาน IEEE 802.1Q
ที่สรุป
ความเสี่ยงในการสูญเสียอุปกรณ์เคลื่อนที่ที่มีช่อง VPN ที่กำหนดค่าไว้นั้น ต้องใช้โซลูชันอื่นนอกเหนือจากการแจกจ่ายแล็ปท็อปขององค์กร
การใช้เกตเวย์ VPN ขนาดกะทัดรัดและราคาไม่แพงทำให้คุณสามารถจัดระเบียบงานของพนักงานระยะไกลได้อย่างง่ายดาย
เดิมทีรุ่น ZyWALL VPN2S ได้รับการออกแบบมาเพื่อเชื่อมต่อพนักงานระยะไกลและสำนักงานขนาดเล็ก
ลิงค์ที่มีประโยชน์
→
→
→
→
→
ที่มา: will.com