VPN-as-a-Service — объединяем виртуальные машины и серверы в одну виртуальную сеть

Прежде чем перейти непосредственно к теме VPN-as-a-Service, напомним основные особенности виртуальных частных сетей (Virtual Private Network, VPN).

VPN расширяет частную сеть на общедоступную и позволяет пользователям отправлять и получать данные через общие сети, как если бы их вычислительные устройства были напрямую подключены к частной сети.

VPN — это программа, которая создает безопасное зашифрованное соединение по менее защищенной сети, такой как общедоступный Интернет. VPN использует туннельные протоколы для шифрования данных на передающей стороне и дешифрования на принимающей стороне. Существует несколько различных протоколов, используемых для обеспечения безопасности пользователей и корпоративных данных. Они включают IPsec, SSL/TLS, PPTP и L2TP. Для дополнительной безопасности исходные и принимающие сетевые адреса также шифруются.

Технология VPN была разработана для предоставления удаленным пользователям и филиалам доступа к корпоративным приложениям и ресурсам. Для обеспечения безопасности соединение с частной сетью устанавливается с использованием зашифрованного многоуровневого протокола туннелирования. Для получения доступа к VPN пользователи должны пройти процедуры аутентификации, включая пароли или сертификаты. В других приложениях пользователи Интернета могут защищать свои соединения с помощью VPN, чтобы обойти географические ограничения и цензуру или подключиться к прокси-серверам для защиты своей личности и местоположения, оставаясь анонимными в Интернете. Сетевые администраторы располагают несколькими опциями при разворачивании VPN.

Прежде всего это организация уделенного доступа через VPN. В этом случае клиенты подсоединяются в шлюзу VPN, установленному в сети компании. Шлюз требует, чтобы устройства себя аутентифицировали, прежде чем им будет предоставлен доступ к внутренним ресурсам, таким как файл-серверы, принтеры и интранет.

Далее, VPN между сетями. В отличие от предыдущего варианта VPN типа «сеть-сеть» использует шлюз для подключения сети в одном месте к сети в другом месте. Устройствам конечных узлов в удаленном местоположении не нужны клиенты VPN, поскольку шлюз обрабатывает соединение. Большинство VPN-соединений типа «сеть-сеть», подключающихся через Интернет, используют протокол IPsec. Для них также характерно использование MPLS-облаков, а не общедоступного Интернета в качестве транспорта для межсетевых VPN-соединений. Здесь также можно использовать подключение L3 (MPLS IP VPN) или L2 (служба виртуальной частной локальной сети), работающей через базовый транспорт.

Еще один тип сетей, отвечающий требованиям времени, — это мобильные VPN. В мобильных виртуальных частных сетях сервер VPN по-прежнему находится на границе сети компании, обеспечивая безопасный туннельный доступ с помощью аутентифицированных авторизованных клиентов VPN. Однако мобильные VPN-туннели не привязаны к физическим IP-адресам. Вместо этого каждый туннель привязан к логическому IP-адресу. Этот логический IP-адрес привязывается к мобильному устройству независимо от того, где оно может перемещаться. Эффективная мобильная VPN обеспечивает непрерывное обслуживание пользователей и может беспрепятственно переключаться между технологиями доступа и несколькими общедоступными и частными сетями.

VPN может быть также построена на базе аппаратных средств. Аппаратные VPN предлагают ряд преимуществ по сравнению с программными VPN. В дополнение к повышенной безопасности, аппаратные VPN могут обеспечить балансировку для обработки больших клиентских нагрузок. Администрирование осуществляется через интерфейс веб-браузера. Аппаратная VPN дороже, чем программная VPN. Из-за стоимости аппаратные VPN являются более приемлемым вариантом для крупного бизнеса, чем для малого бизнеса или филиалов.

Устройство, известное как шлюз VPN, является сетевым устройством, оснащенным расширенными функциями безопасности. Часто называемое VPN SSL (Secure Sockets Layer), это устройство фактически является маршрутизатором, который обеспечивает защиту, авторизацию, аутентификацию и шифрование для VPN.

Несмотря на высокую устойчивость к взлому, существует ряд ограничений безопасности виртуальной частной сети. Любое устройство, которое получает доступ к изолированной сети через VPN, представляет риск распространения вредоносного ПО в эту сетевую среду, если только в процессе VPN-соединения не требуется оценка состояния подключенного устройства. Без проверки того, соответствует ли подключаемое устройство политикам безопасности организации, злоумышленники с украденными учетными данными могут получить доступ к сетевым ресурсам, включая коммутаторы и маршрутизаторы.

Эксперты по безопасности рекомендуют сетевым администраторам рассмотреть возможность добавления программно-определяемых компонентов периметра (SDP) в свою инфраструктуру VPN, чтобы уменьшить потенциальные поверхности атаки. Добавление SDP дает средним и крупным организациям возможность использовать модель с нулевым доверием для доступа как к локальным, так и к облачным сетевым средам.

Сегодня для того чтобы воспользоваться всеми преимуществами VPN, компаниям нет необходимости иметь в своем штате соответствующих специалистов. VPN можно получить как сервис.

VPN-as-a-Service — это простой способ объединить виртуальные машины и серверы клиента в одну виртуальную сеть. Серверы в этой сети будут обмениваться данными так же, как будто они в локальной сети, а подключаться к Интернету через виртуальный маршрутизатор с публичным IP-адресом. При этом адреса самих серверов будут скрыты и недоступны извне.

Одним из провайдеров такого сервиса является компания GigaCloud. В рассматриваемом случае роль маршрутизатора (VPN-сервера) выполняет развернутый в изолированном контейнере в облаке GigaCloud виртуальный сервер OpenVPN.

OpenVPN — это реализация технологии построения VPN с открытым исходным кодом. OpenVPN выполняет роль маршрутизатора, который управляет трафиком внутри виртуальной сети, и межсетевого экрана, отделяющего эту сеть от Интернета.

Целевой аудиторией этой услуги могут являться компании, в инфраструктуре которых присутствуют приложения для внутреннего использования, такие как CRM и 1С, которые не должны быть доступны из Интернета, но должны быть доступны с клиентских устройств.

Это может быть и отдельный сервер с бухгалтерией, и несколько серверов — почта, веб и CRM, которые подключаются к Интернету через один общий интерфейс, а сами находятся в своей собственной подсети.

Изначально при создании виртуального сервера, ему выдается статический публичный IP-адрес, который виден из всего Интернета. Это хорошо для веб-сервера, который должен быть публичным, но для сервера с внутренней системой, предназначенной только для персонала компании, — это дополнительный риск. VPN и частная сеть решают эту проблему, делая возможным доступ к серверу только от авторизованных пользователей.

VPN-as-a-Service предоставляет бизнесу ряд преимуществ. В частности, он обеспечивает больший контроль над безопасностью и правами доступа к информации, а также упрощает задачу построения VPN. Вместо создания и настройки отдельного VPN-сервера можно сделать заказ готового продукта и подключиться к нему в несколько кликов.

Техническая реализация услуги осуществляется следующим образом. При заказе услуги создается OpenVPN-сервер в изолированном контейнере. Он будет выполнять роль маршрутизатора для скрытой, «серой» подсети, к которой будут подключаться виртуальные машины и устройства клиента.

Для того чтобы подключить виртуальную машину к серверу OpenVPN, необходимо в панели управления ВМ нажать пункт меню «выбрать подключение к OpenVPN». При нажатии произойдет замена сетевого интерфейса ВМ, будет снят публичный IP-адрес и выдан «серый» адрес из клиентской подсети. Так может быть подключена любая ВМ, которая заведена на лицевом счету клиента, заказавшего OpenVPN. Для ВМ с ОС Linux может потребоваться перезагрузка.

Схема подключения ВМ к VPM

Для того чтобы подключить пользовательские устройства (компьютеры и телефоны) необходимо загрузить конфигурационный файл и клиент OpenVPN и подключить конфигурационный файл к клиенту.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365