保護資料備份、傳輸安全,最常見的 4 種 VPN 應用

保護資料備份、傳輸安全,最常見的 4 種 VPN 應用

企業在草創之初到漸漸具備規模的時期中,往往缺少不了一件必要的事情,就是將企業最寶貴的資產:「資料與檔案」安全地儲存與備份,好的儲存與備份能幫助企業維持穩定長久的營運,降低需要面臨營運中斷的風險。

 

光是聽來簡單的儲存與備份,也內含了許多需要仔細考量的關鍵,例如:備份還原點數量要充足、差異備份與完整備份機制要互相運用、要做到兩份備份(本地與異地)、異地資料傳輸的安全等。許多企業現在都已經具備前述概念,但是,最常陷入掙扎的是傳輸線路的安全:是否需要特別牽一條昂貴的專線?或是有其他在安全性與成本上 CP 值都更高的傳輸加密方式?這是兩個最常遇到的問題,現在已經有許多 VPN 的應用能解決這些疑慮。

 

VPN 為大家耳熟能詳的 Virtual Private Network,中文可以翻成「虛擬專屬網路連線」、「虛擬私人網絡」、「虛擬專屬網路」等…,用大家都較能理解的白話來比喻,可以想像成電影玩命快遞中,業主不需要再自己採購防爆車與保鑣,直接由男主角傑森史塔森使命必達的保護雇主想要遞送的貨物,在遞送的路途中,除了要保護貨物的安全、還規定不揭開、不透漏、完全保密,另外當中可能需要抵擋不知從何而來的搶劫、竊盜或攻擊,完美的控制情勢,最後需要一個簡單明瞭的認證依據與協議,確保貨物安全完好的遞送到正確的人手上,這就是如今 VPN 的發展,能夠花費比自牽專線更少的經費,僅需在虛擬的網路世界中,透過簡單的設備與軟體、或甚至連設備與軟體都不需要,直接透過安全防護相關的設定,來達到資料傳輸的安全,最常見的 4 種應用及其適用的情境如下:

 

  1. SSL VPN

只需要在資料原存放端,準備一台防火牆設備並加裝一張 SSL 數位憑證做好設定,要進入該台伺服器存取資料的一方僅須使用一般瀏覽器透過輸入帳號密碼進行身分驗證後解密的方式登入作業,這時候,溝通的通道已經透過 https 被加密了;適用於企業員工經常需要在外出差連回公司 CRM 作業、或有外部合作廠商系統同時需要同步企業內部 ERP 資料庫的情況,是最簡單又省事省錢的方式。完整的功能甚至具有負載平衡、防火牆、IP過濾等…效果。

  1. IPsec VPN

顧名思義,是在資料互相傳輸的各端點皆需要設備及軟體,做好 IP 通訊的加密設定後,每一個端點的資料傳輸與溝通,都透過封包加密的方式,在原始資料外層再包裝一層,並且重新產生一個路徑或名稱,在傳輸的路途當中即使被截取,資料也幾乎不可能被解開,並且駭客更無法取得原始的資料路徑與名稱,待資料到達另外一端時透過 IP 通訊驗證通過後再解開封包,適合企業有多個分公司需要經常性的資料分享或同步。然而,雖然透過設備與 IP 能固定通道的安全及企業管理,卻是需要更高的設備成本。

  1. PPTP VPN

除了需要在資料原存放端準備一台路由器或防火牆以外,需要在伺服器及需要進入存取資料的各方伺服器或個人電腦上都做好設定,將兩方透過 IP 驗證來連結通道,已設定好的各個資料分享端點亦可在設備上直接記憶帳號密碼,則不需要再透過輸入帳號密碼等流程(不過,專業建議還是不要直接讓設備記憶帳密,避免設備遭到冒用時直接通過通道),而是在網路溝通時,就已經透過單一通道之間已設定好的協議來驗證,驗證通過方可進入分享資料或應用程式。在企業的管理上能夠獲得更嚴謹的管控,但是當有一方無法取得固定 IP 時,就無法通過驗證,亦無法同一通道允許多重服務,彈性度不比 L2TP VPN 來得便利,但是非常適合分享資料端點皆為固定的伺服器、固定的服務應用、或固定的人員情況下使用。

  1. L2TP VPN

與 PPTP 類似,同樣需要準備一台路由器或防火牆,也需要在伺服器及需要進入存取資料的各方做好驗證的相關設定,但是卻與 PPTP 不同,L2TP 不需要固定 IP,它透過電腦驗證與使用者驗證兩道程序,來確保需要登入的人是否為被允許的一方,並且能夠在兩端點間為了不同的服務應用或不同傳輸質量來建立多重通道,由於 L2TP 的驗證方式,現在大多搭配 IPsec VPN 設定,就能夠直接針對網路 IP 溝通的通道來驗證,增添了一層更穩固的防護,同樣在企業資料傳輸的安全上能更加嚴謹的管理與保護。

 

上面提到 4 種 VPN,個別的協議與驗證,都屬於不同網路層上的設定,也都需要針對企業個別不同的服務應用類別、傳輸量、需要的加密程度來選擇,並且運用不同軟體與設定滿足企業在資料備份或其他傳輸驗證上的需求與防護,其實這些原理看似簡單、真要規劃時卻很複雜,通常需要安全防護專門的網路工程師來規劃,應由企業本身先分門別類清楚列出需求、再由網路工程師來研究與建置;特別針對企業資料備份,最珍貴的資產則應選擇有信譽的主機維運廠商來提供建議或協助導入,才能兼顧地面及雲端的佈署與真正的安全,現代的主機維運廠商多數皆已備有上述相關的設備、軟體及專業知識,能替企業省下設備採購折舊的成本,又能提供更高等級的服務承諾,兼顧成本費用化又獲得更有保障的服務,是企業資訊委外應該考慮的作法。

 

圖片來源: by Geralt

發表迴響