当社には、コアビジネスの請求書を予約、追跡、処理するために使用するイントラネットシステムがあります。上司は、このシステムをインターネットに移動して、「どこからでもアクセス可能」にしたいと考えています。しかし、これは賢明ではないと感じています。内部システムを直接インターネットに接続することが悪いことであるいくつかの理由はありますか?
このシステムには独自のユーザーと認証システムがあり、才能のあるコーダーによって社内で開発されました。侵入テストも行われていますが、これはすべて、システムが内部ドメインからのみアクセス可能であるという基準に基づいて行われました。
あなたの質問には最大の理由が含まれています...システムに外部からアクセスできないという想定の下で侵入テストが行われました。したがって、その前提なしにペンテスティングを実行するためのコストから始めてください。そうすれば、テストはすべてのリスクを伴います。
適切な侵入テストなしで外部からアプリにアクセスできるようにすることは、あなたやあなたの会社とさえ考えるべきではありません。あなたは、公共のインターネットの内部にあるように設計されたサービスを公開するリスクを評価する専門家ではありません。
このアプリケーションがあなたの会社を公開する多くの方法を推測することができますが、それは推測にすぎません。最悪のケースを想定する必要があります。これは、誰かがホスティングサーバーに違反し、サーバーへのrootアクセスを取得し、それを使用して他のすべてのサーバーにアクセスすることです。ビジネスがITシステムに依存している場合、ビジネスを遂行できなくなったり、業界内の信頼性が失われたり、法的結果につながる可能性があるまで、ビジネスが混乱する可能性があります。
上司が理解できる言語で:不利な点は、おそらく外部の専門家を雇うという形でセキュリティについて心配する必要があることです。
システムをインターネットに配置すると、中国からのすべての退屈なハッカーが侵入する可能性があります。あなたが彼らがそうするだろうと思わないならば(標準的な議論「私たちは盗む価値があるものは何もない」)、私が書いたものを振り返ってください:笑い。システムに侵入する理由は必要ありません。最近の攻撃の大部分は無向です。つまり、ネットワーク全体に一連の標準的なエクスプロイトを投げ、誰が倒れるかを確認するだけです。彼らが侵入した後で初めて、彼らはそれが何であるか、または誰であるかさえチェックします。また、盗むものがない場合でも、CPUパワー、帯域幅、ボットネットの一部として存在します。
インターネット上にシステムがあるnotは、インターネットシステムの場合でも、1番目のセキュリティ対策です。つまり、彼がインターネットでそれを望んでいるのであれば、それは問題ありません。ただし、ファイアウォールとWAF、アプリケーションゲートウェイ、またはそのいずれかとその前にDMZがあるはずです。もちろん、インターネット上に置くこともできます。あなたの質問から、上司が理解していることは明らかではありません。それは、別のケーブルをネットワークポートに接続する以上の意味があります。