サイト間VPNはSSL + IPホワイトリストよりも優れていますか？

想定＃1は真実ですが、企業IPをホワイトリストに登録すると、SSOによってブロックされていても、社内の誰でもそのアプリケーションにアクセスできるようになります。 StS VPNを使用すると、サブネットを使用でき、特定のサブネット内のユーザーだけがアプリケーションにアクセスできるため、ここで役立ちます。

また、企業WiFiとゲストwifiがある場合、企業IPをホワイトリストに登録すると、...ゲストがそのアプリケーションにアクセスできるようになります。

多層防御

個々の戦略にはさまざまな方法があるため、適切な戦略は1つもありません。戦略のレイヤーを組み合わせると、すべてのレイヤーが満たされている場合にのみ接続が可能になります。

非アプリケーションユーザーはどうですか？

また、アプリケーションのユーザーが相互認証でTLSを使用することを述べましたが、インフラストラクチャを維持することも必要です。例えば。 OSパッチ、ソフトウェアパッチとリビジョンの適用、データベースメンテナンスの実行、バックアップの実行、クラウドコンソールへのアクセスなどが必要になる可能性があります。これらのアカウントはすべて必要ですが、認証にTLSクライアント証明書を使用する必要はありません。

重要なのは...資格情報が盗まれる可能性があるが盗まれる（ただし、ありそうもないが、おそらく実際には0ではない）と仮定する。盗まれた場合、およびアプリケーションがホストされているためインターネット上のどこからでもアクセス可能なパブリッククラウド内にある場合、資格情報を盗むことができる誰でもアプリケーションにアクセスできます。

信頼できるユーザーと信頼できるパス/場所

サイト間VPNを使用する場合、VPNは通常、VPNを使用する接続、ユーザー、またはマシンではなく、2つのエンドポイントを認証するだけです。したがって、それ自体のVPNは十分なセキュリティではありません。これは、多層防御戦略の多くのレイヤーの1つにすぎません。

しかし、VPNが行うことが行うこと（自明のほか）は、すべてのユーザーがトラステッドパスを介してクラウドホストアプリケーションとインフラストラクチャにアクセスすることを強制することです。サーバーがVPNでの接続のみをリッスンするように設定されている場合、盗まれた資格情報は役に立ちませんでない限りそれらはまた、信頼できるパスを介して接続を確立できます。

これは、たとえば、DBAがクラウドでホストされているデータベースに接続する場合、その信頼できるパスを経由する必要があることを意味します... DBAが期待される場所から来ていることを少しだけ保証します。どこでも。

両方使用

TLSは、アプリケーションのユーザーを認証するのに役立ちます（ただし、インフラストラクチャを保守する人はおそらくそうではありません）。しかし、それはそれらのユーザーが信頼できる場所から来ていることを確認するものではありません。

VPNは個々のユーザーを認証しません。ただし、信頼できる場所からの接続であることを確認するのに役立ちます。

サイト間VPNは、個々のユーザーやマシンを認証せず、トラフィックが2つのネットワーク（オフィスとクラウドプロバイダー）の間を流れることのみを保証します。トラフィックのソースがIPによって制限されており、宛先が有効なSSL証明書によって認証されている場合、同じではありませんか？

確かに、この場合のVPNは個々のユーザーまたはマシンを認証しませんが、VPNサイト間ネットワークの1点を偽装するにはかなりの労力が必要になるため、MiTM攻撃に対する防御を提供します。

VPNによって提供される暗号化は、すでにTLSを使用しているため冗長です。

本当ですが、暗号化のためにVPNが選択されたとは思いません（想定）

どちらかといえば、VPNオプションは、あまり必要ではないクラウドプロバイダーからの着信接続を許可する可能性があるため、安全性が低くなります。

正しいですが、プロバイダーからのトラフィックフローを許可するため、IPホワイトリストは安全ではありません。

たとえば、ネットワーク管理者は、VPNに接続することでこのような接続を管理する方が簡単だと考えている、または会社がファイアウォールよりもVPNアクセスに別のデバイスを使用しているなどと考えます。ファイアウォールからトラフィックの負担を軽減したい。