Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

VPN-yhteyksien kapasiteetin varmistaminen

Tietoturva Nyt!

Kasvanut etätyöliikenne on kuormittanut organisaatioiden VPN-kapasiteettia, mistä on seurannut työnteon hidastumista tai jopa keskeytymistä. Yksi mahdollinen ratkaisu tähän ongelmaan on VPN split -tunneloinnin teko.

Huom!

VPN split -tunneloinnissa voidaan parantaa etätyöhön liittyvien resurssien kapasiteettia hyvinkin nopealla aikataululla. VPN split -tunneloinnin käyttöönotto tulee tehdä ainoastaan silloin kun organisaatiolla on tiedossa, että se pystyy tekemään sen turvallisesti. Lisäksi VPN split -tunnelointia harkitessa organisaatioiden on suoritettava oma riskiarviointinsa siitä, mitä tietoa ne voivat siirtää suljetun VPN-tunnelin ulkopuolelle.

VPN-yhteyden toteuttamiseen on kuitenkin olemassa eri vaihtoehtoja:

VPN-ratkaisuja mietittäessä on huomioitava, että VPN split -ratkaisut voivat olla haastavia saada toimimaan oikein erilaisilla verkkokonfiguraatioilla. Joissakin tapauksissa pienet muutokset, kuten nettitikkujen liittäminen koneeseen, voivat muuttaa konfiguraatioita ja siten saada VPN splitin toimimaan väärin. Testaaminen ja hyvin vakioidut työasemat auttavat organisaatiota varmistumaan siitä, että VPN split toimii odotetulla tavalla. Lisäksi on huomioitava että, VPN split -tunneloinnissa tietoturva on pitkälti ainoastaan työaseman tietoturvatuotteiden varassa, eivätkä organisaation asettamat tietoturvamekanismit välttämättä ulotu päätelaitteen suoran verkkoyhteyden turvaamiseen.

Useissa organisaatioissa kaikki tietoliikenne kuljetetaan etätöitä tehdessä VPN-tunnelin kautta organisaation omaan verkkoon tai sen kautta kierrättämällä julkiseen verkkoon (VPN Forced Tunnel). Organisaatioiden etätyön lisäännyttyä merkittävästi viime viikkojen aikana VPN-yhteyksien läpi kulkeva tietoliikenne on saattanut aiheuttaa palveluiden tai verkon toiminnan hidastumista tai jopa keskeytymistä.

Nykypäivän IT-palveluiden käytöstä ja toimitustavoista johtuen suurin osa organisaation tietoliikenteestä voi kohdistua julkisessa pilvipalvelussa oleviin resursseihin ja palveluihin oman sisäverkon sijaan. Tämän lisäksi esimerkiksi työasemille jaettavat tietoturva- ja sovelluspäivitykset voivat olla kuukausitasolla useita gigatavuja työasemaa kohden. Tämä organisaation oman verkon kautta kierrätettävä tietoliikenne lisää entisestään VPN-yhteyksiin kohdistuvaa kuormitusta.

Nopeana ratkaisuna tähän ongelmaan on VPN split -tunnelointi, jossa VPN-tunneliin tehdään hallitusti avattu poikkeava tietoliikennereitti, jota pitkin tietoliikenne ohjataan päätelaitteelta suoraan julkisen internetin määrättyyn kohteeseen.

Esimerkkinä VPN splitin käyttötavoista on, että työasemalta lähtevä liikenne voidaan ohjata suoraan pilvipalvelussa olevaan SaaS-palveluun tai muihin palveluihin ilman, että liikenne ohjataan ensin organisaation oman verkon kautta. Toisena esimerkkinä on, että työasemien tietoturva- ja sovelluspäivitykset voidaan jakaa keskitetysti luotetusta lähteestä suoraan työasemille VPN split -tunnelointia hyväksikäyttäen. Tällöin työasemien päivitysten asennuspaketit voidaan määrittää haettavaksi suoraan esim. organisaation hallussa olevasta pilvipalvelusta, jolloin tietoliikenteen ja asennuspakettien ei tarvitse kulkea organisaation sisäverkon kautta.