1. Обозначаем мозг системы.
Обычно мы начинаем построение сети с создания ее своеобразного «мозгового центра». Как правило, им становится центральный маршрутизатор или VPN-сервер в главном офисе компании. Он будет обрабатывать всю сетевую коммуникацию, содержать информацию о подсетях и обеспечивать маршрутизацию трафика между ними.
Через него мы сможем централизованно управлять всей корпоративной сетью: следить за подключениями к ней, настраивать права доступа, реагировать на потенциальные угрозы. В общем, это наш главный пульт управления и мониторинга.
2. Применяем базовую защиту и настраиваем маршрутизацию трафика.
Когда мозг создан, мы защищаем свою сеть таким образом, чтобы доступ к ней имели только корпоративные сотрудники. Двухфакторная аутентификация, которую мы внедряем, уже давно стала базовым правилом безопасности.
Затем прикручиваем токенизацию входа и избирательную маршрутизацию к внутренним сервисам только из доверенных сетей.
Это два базовых инструмента для защиты от несанкционированного проникновения.
Настройка маршрутизации трафика через определенные точки выхода позволяет контролировать поток данных и обеспечить безопасный выход клиентов в интернет.
К примеру, удаленный сотрудник может использовать роутер, настроенный на маршрутизацию его трафика через IP-адрес головного офиса, обеспечивая доступ к корпоративным ресурсам независимо от его местоположения.
3. Работаем над предотвращением вторжений.
Пропуская трафик компании через IDS/IPS, мы ловим значительную часть угроз еще до того, как они станут реальной проблемой. IDS (система обнаружения вторжений) анализирует сетевой трафик и при обнаружении вторжений или любых других аномалий тут же сигнализирует об этом администратору.
Она автоматически принимает меры против обнаруженной угрозы, если это возможно: может фильтровать трафик, блокировать подозрительные IP-адреса и даже пакеты атакующих данных.
4. Маскируем конечные точки подключения.
Перенаправляем трафик через несколько промежуточных узлов (хопов), чтобы скрыть исходную точку подключения.
Маскируем факт подключения (мимикрия под легитимные протоколы). Крайне полезная опция в условиях большого числа региональных ограничений на типы трафика и протоколы.
Где-то блокируются мессенджеры или VPN-сервисы, где-то нельзя посещать нужные нам в работе сайты. Обходим эти ограничения, маскируя наш трафик под трафик, разрешенный в стране пребывания.
5. Используем инструмент централизации корпоративной сети SDN.
Вместо того чтобы настраивать каждый маршрутизатор вручную, используем SDN.
Примеры таких решений: ZeroTier, Tailscale, Nebula, OpenVPN Access Server и прочие. Все они позволяют администраторам изменять сетевые параметры и политики из центрального интерфейса управления, без ручной настройки на каждом устройстве.
6. Делаем проброс L2 через L3 (не во всех случаях).
Тема неоднозначная, но всё же требует упоминания. Если у нас есть две и более удаленные сети, которые нужно объединить в одну L2-сеть, можно использовать инструменты вроде VXLAN для создания виртуальной сети поверх существующей L3-инфраструктуры.
К такому решению лучше относиться с осторожностью и применять только тогда, когда это действительно необходимо, так как проброс может сильно усложнить управление и масштабирование сети, а также увеличить риски безопасности.
7. Управляем удаленными устройствами.
Заканчиваем возведение цифровой инфраструктуры настройкой безопасного доступа к удаленным сетевым устройствам через VPN. Это особенно актуально для управления устройствами, которые размещены в удаленных или труднодоступных местах: публичные точки доступа, устройства LoRa, удаленные камеры, терминалы самообслуживания, входные терминалы.
Делаем всё для минимизации физической настройки и взаимодействия с ними.
Заключение
Как правило, частные компании начинают задумываться о создании собственных корпоративных VPN в двух случаях: либо при появлении большого числа удаленных сотрудников и филиалов, либо испытав на себе печальные последствия взломов и утечек.
Мы описали тот минимум, который необходим для создания корпоративного VPN. В идеале созданная цифровая архитектура должна отвечать не только требованиям безопасности и надежности. Не менее важно сделать систему понятной и удобной для тех, кому предстоит с ней работать.
Это банально, но в погоне за эффективностью иногда забывают об удобстве для конечного потребителя. Впрочем, юзабилити корпоративных решений — это большая тема уже для другой статьи.