私の会社は別の会社にサービスを提供し、1日に数回VPN経由で接続しています。このサービスでは、イントラネットのWebベースのアプリケーションにアクセスし、必要に応じてサーバー間でファイルをコピーします。
現在、2人のユーザーが必要なときにいつでもCisco VPNクライアントを使用してPCから会社のCiscoファイアウォールに接続しています。 PCの営業時間外はオフになっています。 VPNパスワードは、SHA-256で暗号化する専用ツールを使用してPCに保存されます。
現在、同社は、サイト間VPNの方が制御が簡単であると考えているため、サイト間VPNに切り替える必要があると述べています。私たちは主に、私たちが彼らのネットワークの不可欠な一部になり、その安全に部分的に責任を持つようになることを恐れているので心配しています。私たちは、ハッカーが土曜日の夜にファイアウォールに侵入して会社のネットワークに侵入する方が、日中にネットワークに侵入してVPNが使用されているときに適切なPCに到達するよりも簡単だと考えています。
既知の脆弱性のないまともなファイアウォールがある(そして、両方の会社が注目を集めているターゲットではない)と仮定すると、このスイッチに過度に懸念していますか?サイトツーサイトとクライアントベースを使用することの他の欠点はありますか?
に関して:
私たちは主に、私たちが彼らのネットワークの不可欠な一部になり、その安全に部分的に責任を持つようになることを恐れているので心配しています。
責任を課す契約上の要件がない限り、リスクはそのままにしておく必要があります... VPNインバウンド接続がアクセス/サービスを制限する制御の対象となるのを防ぐものは何もありません...これはすでに導入されているため、クライアントからの移動が必要ですサイトVPNへのデバイスVPNは、この点で変更を導入すべきではありません。
それらのアーキテクチャは、ネットワークのセキュリティに完全に依存するべきではありません(以下を参照)。
に関して:
私たちは、ハッカーが土曜日の夜にファイアウォールに侵入して会社のネットワークに侵入する方が、日中にネットワークに侵入してVPNが使用されているときに適切なPCに到達するよりも簡単だと考えています。
それはおそらくあなたの観点からはあなたが正しいということかもしれません(それはおそらく実際には誤った安心感ですが)。ただし、ラップトップがインターネットにアクセスする方法によっては、接続先の組織が広範囲のアドレスからの接続を受け入れる必要がある場合があるため、サイト-サイトVPNに関連付けられた1つの(既知の)IPアドレスにこれを制限できる場合彼らのネットワークに適用可能な攻撃面を潜在的に減らしています。
サイトサイトVPNには、クライアントサイトVPNよりも構成上の利点がありますが、これらが適用可能かどうかはシナリオによって異なります。
彼らが物事を正しく行っている場合、彼らはあなたに彼らのシステムへの接続を許可するための法的義務を課します(パッチ、AVなど)。
ハッキングされる可能性があるという懸念がある場合は、提案されているVPNの種類ではなく、このリスクに注意を集中します。理想的には、システムのセキュリティに自信を持つためにコントロールについて十分に理解する必要があります。
うーん。
「Ciscoクライアントを使用している」と言うと、すでにVPNを使用していると思います。
あなたがサービスプロバイダーである場合、顧客がそのサービスを提供する方法を指示する必要があるのは奇妙に思えます。特に、これが純粋に技術的なサービス(Webベースのアプリケーションなど)である場合。顧客のネットワーク内の複数のデバイスを管理するなどのビジネスサービスの場合、VPNが適切なソリューションであることは理解できますが、ある種のアプリケーションサービスの場合、VPNは間違ったアプローチです-デフォルトでは、アクセスが多すぎる場合は、機能を実行するために必要な最小限に調整する必要があります。 TLSラップされたサービスとクライアント証明書の検証を使用するOTOHは、ユーザーとクライアントの両方を保護します。
サイトからサイトへの実行が唯一の実行可能なソリューションであると顧客が考える状況にいると思われる場合、当然のことながら、(見たところ)顧客のネットワークに接続し、そこからより良い接続ソリューションを実際のネットワークに実装するだけです。しかし、これはほとんど推測です-私はこのサービスが何であるか、また顧客の動機について何も知りません-あなたは本当に彼らに話し、問題を正しく理解する(またはここでより多くの情報を提供する)必要があります。