В настоящее время я работаю с клиентом в сфере здравоохранения. Часть работы будет включать контакт с конфиденциальной информацией о здоровье пациентов (PHI). Клиент использует AWS и хранит свои конфиденциальные данные в виртуальном частном облаке.
Требуется, чтобы я подключился к VPN-серверу, чтобы получить доступ к их сервисам AWS. Они используют клиент OpenVPN.
Но у них VPN настроен так, что, когда я подключаюсь к нему, весь мой интернет-трафик туннелируется через VPN-сервер, а не только трафик, связанный с их сетевыми ресурсами. Это замедляет мое интернет-соединение примерно до 1,5 Мбит / с, что не идеально.
Я рассказал им об этом, и они сказали: «Правила безопасности не позволяют никому с любого IP-адреса, кроме конечной точки VPN, получить любую информацию о наших экземплярах». Но если я чего-то не упускаю, это не отвечает на мой вопрос.
Есть ли у них реальные преимущества в плане безопасности, если они настроят свой VPN таким образом?
У вас (в основном) есть два режима при подключении к VPN:
полное туннелирование: весь трафик проходит через VPN-туннель; это настройка, которую использует ваш клиент
раздельное туннелирование: через VPN проходит только трафик, предназначенный для удаленной сети, другой трафик (Интернет) - нет.
Раздельное туннелирование сопряжено с двумя рисками:
1 - ваше интернет-соединение может быть взломано, и злоумышленник может получить доступ к удаленной сети через ваш компьютер. Ваше соединение может быть защищено или нет. У клиента нет возможности контролировать безопасность вашего интернет-соединения, поэтому он должен убедиться, что у вас нет доступа к Интернету, кроме соединения, которое он контролирует, пока вы подключены к их сети.
2 - как объяснил Рон Мопин в комментарии, пользователь внутри удаленной сети может обойти внутреннюю безопасность, чтобы получить доступ в Интернет через ваше VPN-соединение. Они могут использовать это для просмотра опасных сайтов или для экспорта конфиденциальных данных.
В качестве дополнительного примечания, некоторые клиенты VPN также выполняют пользовательские проверки на вашем компьютере, как правило, чтобы узнать, есть ли антивирусное программное обеспечение и обновлено ли оно, до предоставления доступа к корпоративным ресурсам.
Лично я, как коллега-консультант, если бы клиент наложил на меня такой контроль, выполняя для него работу, я бы сказал: «Да, я понимаю. Спасибо». а затем я приступил к делу, для которого меня наняли. Я бы сохранил все ненужные просмотры в Интернете, пока я не был в свое время и в своей сети. Надеюсь, вы задаете этот вопрос в качестве академического упражнения, а не пытаетесь обойти их контроль или попытаться убедить их, что вы думаете, что они неправы.
Если меня не наняли для внедрения, аудита или консультирования клиента по их текущим методам обеспечения безопасности, то мое дело как консультанта не ставить под сомнение эти методы или пытаться их избегать.
Как консультант, я не имею права навязывать клиенту свою волю, мнение или предпочтения, и не мое дело указывать на «все, что они делают не так», если это не является частью моего договорного взаимодействия с клиентом. . Вы столкнетесь с множеством сценариев с клиентами, которые заставят вас качнуть головой или задуматься, почему. Лучше всего держать свое мнение при себе и продолжать работу, которую они наняли и за которую вам платят. Конечно, наша обязанность - заботиться об интересах наших клиентов, поэтому могут быть моменты, когда вам нужно что-то сказать, но это не тот случай.