Назад | Перейти на главную страницу

Безопасность VPN по сравнению с обычным старым TLS

Мы хотим представить веб-приложение через Интернет. Очевидное решение - сделать его доступным через HTTP с помощью TLS и RBAC.

Может ли блокировка доступа еще больше за счет использования VPN повысить безопасность, и если да, то как? Насколько я понимаю, использование VPN, безусловно, добавит хлопот, поскольку клиенту потребуется VPN-клиент, а одновременная сетевая активность может быть ограничена при подключении к VPN.

Решение во многом зависит от вашего метода аутентификации и пользовательской базы. Только доступ к VPN проще спроектировать, однако вы можете подвергать большую часть своей внутренней сети, чем вы хотите, для этих пользователей приложения, и вы будете слышать бесконечные жалобы от пользователей, которым теперь придется перепрыгнуть через еще как минимум 2 кольца для подключения и пройти аутентификацию в VPN.

Сначала вам нужно выяснить, где вы будете размещать сервер:

  1. Внутри вашего брандмауэра с VPN
  2. Внутри вашей DMZ с обратным прокси, общая аутентификация
  3. Совместное размещение или облако с общей аутентификацией или отдельное управление учетными записями пользователей

Тогда, если это только для внутренних пользователей, а не для внешнего членства. Существует множество вариантов интеграции с существующими пользовательскими базами данных с использованием Kerberos, NTLM, PKI, внутренней аутентификации приложения (базы данных) или веб-сервера (.htpass / LDAP).

Если это для внутренних сотрудников, возможно, стоит изучить Managed PKI через Verisign или Entrust. Это позволяет вам управлять и развертывать сертификаты безопасности для аутентификации с открытым / закрытым ключом. Вы можете подключить сервер к обратному прокси-серверу (mod_security) для мониторинга и фильтрации интернет-атак, а затем пройти аутентификацию через сертификат (пример). Хотя это довольно дорого.

Если это для общего пользования, то стандартный HTTPS + LDAP часто оказывается наиболее экономичным выбором. Вы можете синхронизировать базу данных ролей LDAP каждую ночь и т. Д., Чтобы избежать необходимости управлять несколькими наборами учетных записей пользователей.

На самом деле мы решили придерживаться VPN на первых этапах нашего веб-приложения. У нас был достаточный контроль над пользовательскими ноутбуками, чтобы иметь возможность поддерживать накладные расходы и поддерживать безопасность. В конечном итоге мы перейдем к управляемой PKI вместе с синхронизацией AD / LDAP. для RBAC. Удачи.

Я не думаю, что VPN добавит что-нибудь положительное для безопасности вашего приложения.