和 CISA 建议使用 IPsec VPN。特别是经过测试和验证并列入国家信息保障伙伴关系 (NIAP) 产品合规列表 的 IPsec VPN 产品。基于 TLS 的 VPN 缺乏标准化，无法客观衡量其保障，目前不建议用于通用 IP 流量的隧道传输。使用此选项的组织可以将其云租户配置为仅接受来自 VPN 的连接。然后，他们可以使用 VPN 集中管理访问并记录和监控网络流量，为组织提供额外的安全层和对其云租户使用情况的可见性。有关 VPN 的更多指导，请参阅 NSA 的报告：选择和强化远程访问 VPN 解决方案、网络基础设施安全指南和配置 IPsec 虚拟专用网络。[4]、[5]、[6] 组织可以使用 VPN 来保护客户端与租户的连接以及与云资源的连接。虽然它们不是执行此操作的唯一机制，但 VPN 是确保在整个组织内一致执行加密要求的不错选择。