Coraz częściej słyszy się o wirtualnych sieciach prywatnych funkcjonujących w warstwie aplikacji. Twórcy tego rozwiązania zwracają uwagę na możliwość zapewnienia bezpiecznego zdalnego dostępu do wielu aplikacji i zasobów sieciowych.

Czym są więc aplikacyjne VPN i czym różnią się od tradycyjnych wirtualnych sieci prywatnych?

W odróżnieniu od sieci VPN opartych na IP Security (IPSec), które działają w trzeciej (sieciowej) warstwie modelu OSI (Open Systems Interconnection), aplikacyjne wirtualne sieci prywatne działają w warstwie siódmej (aplikacji). Funkcjonowanie w tej warstwie umożliwia wgląd w dane aplikacyjne, co daje administratorom znacznie większe możliwości wprowadzania reguł bezpieczeństwa przy zdalnym dostępie do aplikacji.

Centralnym elementem aplikacyjnej sieci VPN jest działające w warstwie aplikacji proxy, zwykle realizowane przez dedykowane urządzenie sieciowe (appliance). Proxy zapewnia pojedynczy punkt zarządzania, broniąc dostępu do sieci prywatnej za zaporą.

Aplikacyjna VPN pośredniczy w przekazywaniu żądań klientów zdalnych do aplikacji serwerowych. Przejmuje nawiązywane przez nich połączenia w warstwie aplikacji, przetwarza dane i tłumaczy je na odpowiedni protokół aplikacyjny. Podczas tego przejęcia VPN analizuje informacje aplikacyjne, stosuje reguły (policy) i służy jako dozorca (gatekeeper) na styku Internetu i sieci prywatnej.

Aplikacyjna VPN uruchamia klienckie i serwerowe wersje aplikacji na tym samym serwerze, co eliminuje potrzebę klienta na zdalnym komputerze. W przypadku aplikacji Windows wersje klienckie i serwerowe są instalowane na platformie Windows Terminal Server, która wykorzystuje protokół RDP (Microsoft Remote Desktop Protocol) w procesie uzgadniania żądań zdalnych użytkowników i odpowiedzi aplikacji.

Zdalny użytkownik uruchamia przeglądarkę i wprowadza adres URL urządzenia sieciowego, obsługującego aplikacyjną VPN. Do szyfrowania danych, wymienianych pomiędzy przeglądarką użytkownika a aplikacyjnym proxy, jest używany protokół SSL (Secure Sockets Layer). O wyborze SSL decydują jego wysoki poziom bezpieczeństwa i fakt, że ten protokół obsługuje większość przeglądarek.

Aplikacyjna VPN wymusza stosowanie reguły bezpieczeństwa podczas przejęcia zlecenia, przepytując zewnętrzne serwery reguł i uwierzytelniania, oparte na Active Directory i protokole LDAP (Lightweight Directory Access Protocol). W ten sposób dochodzi do autoryzacji użytkownika i zapewnienia mu dostępu do odpowiednich (wg ustalonych reguł) aplikacji.

Od tego momentu przeglądarka przesyła właściwe dane aplikacji do proxy, wykorzystując protokół uproszczonego klienta (thin client) aplikacji. Proxy przekłada protokół uproszczonego klienta na RDP, a następnie dostarcza dane do serwera aplikacji.

Aplikacyjne VPN sprawdzają się także w przypadku aplikacji webowych i intranetowych, zapewniając bezpieczny zdalny dostęp do sieci bez narażania niezabezpieczonych serwerów intranetowych na zewnętrzny atak. Proxy przejmuje, przegląda i przepisuje zapytania HTTP. Zdalni użytkownicy w wyniku tego otrzymują dostęp do zasobów aplikacji webowej wg zdefiniowanych reguł bezpieczeństwa.

Żądania użytkowników nie są przesyłane bezpośrednio do serwera aplikacyjnego, ale przejmowane w urządzeniu sieciowym VPN, przetwarzane zgodnie z regułami bezpieczeństwa i tłumaczone na odpowiedni protokół back-end, a następnie przekazywane do serwera aplikacji.

Ten model z aplikacyjną VPN pełniącą rolę proxy, wymuszającego uwierzytelnianie i stosowanie reguł przed skierowaniem strumienia danych do serwera aplikacji, chroni sieci prywatne. W sieciach VPN opartych na IPSec żądania użytkowników mogą przechodzić przez warstwę sieciową całej sieci korporacyjnej.

Ze względu na to, że VPN aplikacyjne mogą zapewnić bezpieczny zdalny dostęp do wielu aplikacji i dać administratorowi elastyczne narzędzie kontroli dostępu do tych aplikacji, rozwiązanie to powinno odgrywać coraz ważniejszą rolę w sieciach korporacyjnych i systemach zabezpieczeń.