美國國家安全局(National Security Agency, NSA)與國土安全部網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)共同發表「VPN安全強化指引」(Selecting and Hardening Remote Access VPN Solutions)，旨在協助各公私單位強化VPN安全。

 

VPN伺服器常為進入各種受保護網路之入口節點，因此成為駭客組織攻擊之標的；過往有許多國家層級資助之進階持續性威脅(Advanced Persistent Threat, APT)駭客組織，利用VPN相關漏洞，執行使用者登入資訊竊取、遠端執行任意程式碼、破解加密傳輸資訊及竊取機敏資料等。

 

該指引說明如何選擇安全VPN服務與強化VPN安全性設定等，以協助公私單位降低VPN遭攻擊成功之機率；重點包括選用經「國家資訊安全保障聯盟」(National Information Assurance Partnership, NIAP）驗證通過之VPN產品、導入多因素身分驗證機制、即時進行漏洞修補與更新及停用非VPN相關功能等方法，以降低VPN攻擊面(Attack Surface)。

資料來源：

https://media.defense.gov/2021/Sep/28/2002863184/-1/-1/0/CSI_SELECTING-HARDENING-REMOTE-ACCESS-VPNS-20210928.PDF

https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2791320/nsa-cisa-release-guidance-on-selecting-and-hardening-remote-access-vpns/

https://www.niap-ccevs.org/Product/PCL.cfm