現在、ヘルスケア部門のクライアントと協力しています。作業の一部には、患者の機密情報(PHI)との接触が含まれます。クライアントはAWSを使用し、機密データをVirtual Private Cloud内に保持します。
AWSサーバーにアクセスするには、VPNサーバーに接続する必要があります。彼らはOpenVPNクライアントを使用しています。
しかし、VPNが構成されているので、接続すると、ネットワークリソースに向けられたトラフィックだけでなく、インターネットトラフィックすべてがVPNサーバーをトンネリングされます。これにより、インターネット接続が約1.5 Mbpsに遅くなり、理想的ではありません。
私は彼らにそれを提示し、彼らは「セキュリティルールにより、VPNエンドポイントを除いて、IPアドレスからの誰もがインスタンスに関する情報を取得できないようにしています」と述べました。しかし、私が何かを逃していない限り、それは本当に私の質問の答えにはなりません。
この方法でVPNを設定することには、セキュリティ上の利点がありますか?
VPNに接続する場合、(基本的に)2つのモードがあります。
フルトンネリング:すべてのトラフィックがVPNトンネルを通過します。これは顧客が使用する設定です
スプリットトンネリング:リモートネットワーク宛てのトラフィックのみがVPNを通過し、他のトラフィック(インターネット)は通過しません
スプリットトンネリングには2つのリスクがあります。
1-インターネット接続が侵害され、攻撃者がマシンを介してリモートネットワークにアクセスする可能性があります。接続が保護されているかどうかは不明です。お客様にはインターネット接続のセキュリティを制御する方法がないため、ネットワークに接続している間は、顧客が制御する接続を除いて、インターネットにアクセスできないようにします。
2-Ron Maupinのコメントで説明されているように、リモートネットワーク内のユーザーは内部セキュリティをバイパスして、VPN接続経由でインターネットアクセスを取得できます。危険なサイトを閲覧したり、機密データをエクスポートしたりするためにこれを使用する可能性があります。
補足として、一部のVPNクライアントは、企業リソースへのアクセスを許可する前に、通常はウイルス対策ソフトウェアがあるかどうか、および最新かどうかを確認するために、マシンでカスタムチェックも実行します。
個人的には、同僚のコンサルタントとして、クライアントが彼らのために仕事をしている間に私にこの種のコントロールを課したなら、私は言うでしょう "はい、理解しました。ありがとうございます。"そして、私は彼らが私を雇ったビジネスについて進みます。自分の時間と自分のネットワークを利用するまで、適切でないインターネットブラウジングはすべて保存しておきます。うまくいけば、あなたはこの質問をアカデミックな演習として求めているのであって、彼らのコントロールを回避したり、彼らが間違っていると思うように説得したりしようとしているのではありません。
現在のセキュリティ慣行をクライアントに実装、監査、またはアドバイスするために雇われていない場合、コンサルタントとしての私のビジネスは、それらの慣行に疑問を投げかけたり、それらを回避しようとしたりすることではありません。
コンサルタントとして、私の意思、意見、好みをクライアントに課すことは私の場所ではありません。クライアントとの契約契約の一部でない限り、「彼らが間違っていることすべて」を指摘することは私のビジネスではありません。 。あなたは頭を振ったり、なぜだろうと思ったりするクライアントとの多くのシナリオに遭遇するでしょう。最善の方法は、自分の意見を自分に伝え、彼らが採用して支払った仕事を続けることです。もちろん、クライアントの最善の利益を探すことは私たちの義務でもあります。そのため、何かについて話す必要がある場合がありますが、これはそのような場合ではありません。