Meilleures pratiques en matière de réseau privé virtuel (VPN)

Les meilleures pratiques en matière de réseau privé virtuel consistent à rechercher le fournisseur qui répond aux besoins de l'entreprise, à se préparer aux pics d'utilisation, à tenir le RPV à jour et à le corriger, à utiliser l'authentification multifactorielle pour les connexions RPV et à éviter les RPV gratuits.

Outil de sécurité virtuel, le VPN est une méthode de communication basée sur le cryptage qui permet de connecter un bureau ou un travailleur distant au réseau privé d'une organisation via un réseau partagé ou public. Le cryptage crée effectivement un tunnel au sein du réseau public dans lequel les données peuvent passer sans être lues par des oreilles indiscrètes. L'appareil de l'utilisateur final et le serveur auquel il se connecte sont les seuls appareils capables de décrypter les données.

Quand utiliser un VPN

Les VPN sont généralement utilisés par les organisations qui doivent connecter un travailleur ou un site distant à un réseau privé plus central. Il peut s'agir d'un nuage privé virtuel au sein d'un nuage public. Lorsqu'une entreprise connaît une croissance rapide et ne peut pas se permettre une solution de réseau telle qu'un SD-WAN qui évite autant que possible l'Internet public, l'utilisation de VPN est une option à faible coût.

Un SD-WAN a accès à plus de types de connexion qu'un VPN, comme MPLS, les réseaux mobiles, l'Internet public et le propre WAN de l'entreprise. En outre, un SD-WAN est également capable d'assurer un cryptage virtualisé de bout en bout sur l'ensemble du réseau, y compris l'internet.

Meilleures pratiques en matière de RPV pour une importante main-d'œuvre à distance (télétravail)

En réponse à la pandémie de coronavirus, l'agence de cybersécurité et de sécurité des infrastructures (CISA) du ministère américain de la sécurité intérieure a publié une alerte pour la sécurité des VPN d'entreprise en mars 2020. La pandémie a provoqué un pic du nombre d'employés travaillant à distance. L'alerte a listé les menaces de sécurité associées à une importante main-d'œuvre à distance. Les menaces liées aux VPN comprennent :

Davantage de vulnérabilités sont trouvées par les acteurs malveillants lorsque les organisations utilisent des VPN.
Les organisations sont moins susceptibles de maintenir les VPN à jour avec les derniers correctifs de sécurité.
Les organisations peuvent disposer d'un nombre limité de connexions VPN, laissant certains employés sans connexion.

Pour atténuer ces risques, le CISA recommande de mettre en œuvre ces meilleures pratiques en matière de VPN :

Mettre à jour les VPN, les dispositifs d'infrastructure réseau et les dispositifs des employés distants avec les derniers correctifs et configurations.
Mettez en place une authentification multifactorielle sur toutes les connexions VPN ou utilisez des mots de passe forts.
Le personnel de sécurité informatique doit tester les limites du VPN en vue d'une utilisation massive.
Si possible, le personnel de sécurité doit utiliser des outils tels que la limitation du débit pour donner la priorité aux utilisateurs nécessitant une bande passante plus élevée.

 

Types de VPN et leurs cas d'utilisation

Les types de VPN comprennent l'accès à distance, la couche de socket sécurisée (SSL) et l'IPsec.

Le VPN d'accès à distance est une forme de base de VPN qui connecte un travailleur distant à un réseau privé central. Les données sont envoyées par un tunnel virtuel dans un réseau partagé ou une connexion Internet publique. Les données sont cryptées en transit, et seuls le logiciel client VPN sur l'ordinateur de l'utilisateur et le serveur d'accès au réseau sur le site de l'organisation peuvent décrypter les données transmises.

Quelles sont les meilleures pratiques en matière de réseau privé virtuel (RPV) ?

Représentation de base d'une architecture VPN d'accès à distance. L'appareil distant transmet des données cryptées via Internet à une passerelle VPN, puis à des ressources de réseau privé. Source : Institut national des normes et de la technologie

Un VPN SSL crypte les données à l'aide du protocole SSL, ou de son successeur, le protocole TLS (Transport Layer Security). Presque tous les navigateurs Web modernes ont commencé à utiliser les protocoles SSL/TLS pour connecter les utilisateurs aux sites Web. Cela signifie qu'il n'y a pas besoin de logiciel client spécialisé que les utilisateurs doivent télécharger ou exécuter pour établir une connexion VPN. C'est pourquoi un VPN SSL est également connu sous le nom de VPN sans client : Il existe deux grands types de VPN SSL : le VPN à portail SSL et le VPN à tunnel SSL. Un VPN de portail SSL utilise une seule connexion SSL à un site Web de passerelle qui donne à l'utilisateur l'accès aux services du réseau privé. L'utilisateur n'a qu'à fournir ses identifiants de connexion pour utiliser le portail VPN SSL.

Un VPN à tunnel SSL est capable d'accéder à des services réseau qui ne sont pas nécessairement basés sur le Web. Un navigateur capable d'interagir avec le contenu actif et de l'afficher est nécessaire pour un VPN à tunnel SSL. Le contenu actif comprend les applications JavaScript ou les fonctions interactives.

IPSec est une suite de protocoles permettant de sécuriser les communications de manière cryptographique. Un VPN IPsec crée un tunnel où le client et le serveur doivent négocier les méthodes et les paramètres pour sécuriser le tunnel. Les associations de sécurité sont la communication unidirectionnelle par laquelle les négociations se déroulent.

Le protocole IKE (Internet Key Exchange) crée et gère les associations de sécurité. Deux associations de sécurité sont nécessaires pour créer un tunnel. Un tunnel IPsec peut offrir quelques fonctions de sécurité à l'aide d'une association de sécurité : chiffrement, intégrité du contenu par l'authentification des données et authentification de l'expéditeur et de l'origine des données.

Meilleures pratiques pour configurer un VPN

Une entreprise doit commencer par choisir le fournisseur de VPN qui correspond le mieux à son cas d'utilisation, à son budget et à ses besoins en matière de sécurité des données. Il existe à la fois des VPN matériels et des VPN logiciels, en fonction des besoins de l'organisation. Les différents VPN ont des protocoles différents qui présentent des avantages différents. OpenVPN est un protocole open source qui présente l'avantage d'avoir une application qui fonctionne sur toutes les plateformes de systèmes d'exploitation (OS). L'avantage des VPN SSL/TLS est qu'ils sont sans client, ce qui facilite leur utilisation par les utilisateurs finaux.

Une fois ce point établi, l'étape suivante consiste à s'assurer que l'organisation dispose du matériel et des logiciels appropriés pour faire fonctionner un VPN : un serveur VPN, un routeur compatible VPN et une application client VPN.

Le serveur peut être sur site ou hébergé dans le nuage. Les serveurs VPN hébergés dans le cloud sont souvent utilisés pour se connecter à des clouds privés virtuels dans un environnement de cloud public. Il est préférable d'utiliser un routeur VPN dédié dans un bureau distant pour gérer plusieurs appareils au même endroit que dans un bureau à domicile avec un ordinateur et un téléphone.

Pour les employés travaillant à domicile, des routeurs WiFi standard avec support VPN peuvent être suffisants. Une fois le matériel déployé et configuré sur le réseau de l'organisation, les employés peuvent télécharger le client VPN sur leurs ordinateurs et autres appareils. Toutefois, si l'organisation utilise un VPN SSL, le client fait partie du navigateur Web et n'a pas besoin d'être téléchargé.

Les employés peuvent alors se connecter au client et utiliser le VPN. La meilleure pratique en matière de VPN est de disposer d'informations d'identification uniques pour le client VPN, distinctes de celles du service VPN lui-même. Une fois connecté, le client VPN peut se connecter au serveur le plus proche de l'emplacement de l'employé.

 

Avantages et inconvénients des VPN gratuits

Le principal avantage d'un VPN gratuit est son coût, ou son absence de coût. Pour les organisations qui ne pourraient pas se permettre un déploiement complet de VPN, un service VPN gratuit peut valoir les inconvénients potentiels.

Cependant, un VPN gratuit peut fournir des connexions plus lentes, appliquer des limites de données, afficher de nombreuses publicités, ne pas être aussi sécurisé et pourrait monétiser les données des utilisateurs. En fin de compte, une organisation en a pour son argent.

Meilleures pratiques en matière de VPN : Principaux points à retenir

Un VPN établit une connexion sécurisée entre un emplacement distant et un réseau privé central en utilisant le cryptage des données.
Pour qu'un VPN reste sécurisé, il doit être mis à jour avec les derniers correctifs de sécurité et les dernières configurations.
Les principaux types de VPN sont les VPN d'accès à distance, les VPN SSL/TLS et les VPN IPsec.
Une organisation doit rechercher des fournisseurs de VPN et déterminer quel service et quels protocoles correspondent le mieux à ses besoins.
Une organisation devrait éviter les VPN gratuits si elle peut l'aider.