Мы хотели бы иметь автономную альтернативу Slack (attermost, rocket.chat), но прятать ее за VPN неудобно для некоторых наших пользователей.
Я бы чувствовал себя в большей безопасности, если бы это не было публичным, но насколько это на самом деле рискованно?
Я считаю, что этот вопрос можно применить ко всем приложениям для разработчиков, таким как: gitlab, redmine и т. Д.
Вы можете оценить, взглянув на темп обновления и информацию о выпуске, относящуюся к безопасности, для каждого интересующего вас пакета.
Обычный случай для людей, которые запускают сторонние приложения / приложения с открытым исходным кодом публично без брандмауэра или защиты VPN, заключается в том, что они не могут обновлять их и их зависимости, а затем через некоторое время после того, как они устареют, их системы скомпрометированы.
Время между объявлением о проблемах безопасности и попытками взлома является самым коротким с чем-то вроде Wordpress, где атаки могут начинаться в течение нескольких минут.
Но все приложения с открытым исходным кодом имеют проблемы с безопасностью, которые требуют постоянного обновления, и злоумышленники будут искать сигнатуры, указывающие на уязвимости.
Является ли эта позиция значительным риском для вас, в значительной степени зависит от контекста, как от воздействия компрометации и раскрытия, привлекательности для вас злоумышленников, так и от затрат - финансовых, человеческих, операционных - альтернативных подходов.
Обычно люди имеют в чате конфиденциальную информацию о компании, и, конечно же, инструменты разработки хранят важные активы. Но с точки зрения злоумышленника в море много рыбы, и многие очень уязвимые системы остаются безупречными.
В конце концов, тем не менее, именно поэтому люди заканчивают использование сервисов SAAS, если у них нет стратегической потребности в самостоятельном размещении и они не в состоянии делать это на более профессиональном уровне, чем любитель. По некоторым определениям, хостинг для любителей в конечном итоге неизбежно приведет к компромиссу.
... скрывать это за VPN некоторым нашим пользователям неудобно.
В сложном программном обеспечении всегда есть ошибки и уязвимости. Если информация вашей компании является конфиденциальной, но VPN кажется излишним, рассмотрите возможность запуска ваших веб-сервисов через HTTPS с клиентскими сертификатами (я считаю, что Mattermost и Rocket.chat работают поверх веб-протоколов).
У ваших пользователей будут неудобства устанавливать свои сертификаты в свои браузеры, но вы эффективно сократите возможные векторы атак до реализации асимметричного шифрования веб-сервером.