專家稱限制用戶VPN訪問可以幫助企業(yè)執(zhí)行安全與BYOD政策，同時減少風險。

有句流傳已久的諺語：“進攻是最好的防御”。它適用于很多語境和學科，從軍事到法律到體育等等。但這并不意味著它是普遍適用的，尤其是當它涉及到VPN接入的時候。

在當今不斷遭受圍攻的網(wǎng)絡管理員清楚的知道，有太多的潛在漏洞潛伏在他們的組織里，因此需要在這些漏洞發(fā)生之前預測并攻擊掉每一個單一的威脅。

尤其是鑒于自備設備(BYOD)和遠程辦公正處于一個上升的趨勢，網(wǎng)絡管理員正在失去直接監(jiān)督潛在有害的員工行為的機會。一直保持攻擊不是一個可持續(xù)的發(fā)展戰(zhàn)略，并且它也并非總是成功的，即使是在短期內(nèi)。

那么，對于關注安全的遠程VPN接入的網(wǎng)絡管理員來說，什么才是最好的防御戰(zhàn)略呢?為了防止員工有更改設置的機會，關鍵一點就是要能夠預配置并且鎖定VPN參數(shù)。預先采取這些積極的措施能夠?qū)⒕W(wǎng)絡管理員從每次追趕流氓員工以及當網(wǎng)絡被攻破的時候加固網(wǎng)絡中解救出來。

遠程工作案例

每當談及BYOD的話題時，它的兩個主要的好處往往同時被提及：方便(對于員工)以及節(jié)省成本(對于雇主)。這也是為什么，到2018年，BYOD被期望跨越一個重要的基點--用于商業(yè)用途的員工自有設備將會兩倍于企業(yè)自有設備。

與過去不同的是，今天的員工能夠從無數(shù)的潛在脆弱的訪問點以及可能并非完全安全的移動設備上遠程訪問公司的網(wǎng)絡，使得鎖定網(wǎng)絡對于IT部門帶來更多的挑戰(zhàn)。通過部署VPN，告訴用戶，“這是我們的安全策略”，然后就希望他們?nèi)?zhí)行是不夠的。

限制用戶行為以降低風險

對于沒有能力預配置VPN和鎖定參數(shù)的網(wǎng)絡管理員來說，用戶可以更改VPN接入配置和設置，通常最終的結果是--這也無需奇怪--對網(wǎng)絡造成危害，無論是通過一個管理員不知道的長期的脆弱性還是一個直接快速的攻擊。

為什么網(wǎng)絡管理員不去預配置VPN并且鎖定參數(shù)呢?通常，網(wǎng)絡管理員是如此渴望部署VPN客戶端--允許用戶遠程接入到公司網(wǎng)絡--以致于他們沒有對不以一種安全策略的方式去配置VPN會造成的后果進行充分的思考。他們或許甚至不知道預配置并且鎖定參數(shù)--用戶不能更改的設置--是可選項。

網(wǎng)絡管理員面臨的另一種不足就是選擇一種不提供預配置和鎖定參數(shù)可選項的VPN客戶端?；蛘?，他們會選擇一種不支持遠程接入策略的VPN產(chǎn)品，因為他們已經(jīng)有了。舉例來說，如果一個公司的政策規(guī)定所有的網(wǎng)絡流量必須經(jīng)過一個安全的VPN，那么這個平臺就必須具備功能性和靈活性以支持該政策。