一位业务合作伙伴要求设置站点到站点 VPN,以便一些服务器可以通过 HTTPS 相互通信。我相信这没有必要,甚至不可取。公平地说,这必须是更广泛政策的一部分,甚至可能是法律要求。但是我想说服他们只向我们提供一个 IP(并且只向我们提供)和一个他们选择的 HTTPS 端口。
有没有人有过类似的经历,或者不得不提出一个坚决的反对 VPN 的论据?
请允许我稍微扩展一下 - 我们有一个 Web 服务,它使用加密的 HTTP 连接启动与合作伙伴相应服务的连接。该连接使用客户端证书进行身份验证。该连接有防火墙,因此只有我们的 IP 可以联系该服务。那么为什么需要 VPN?
答案1
我认为 VPN 可以被视为纵深防御。看看最近针对 SSL 和 HTTPS 的所有攻击,这些攻击使通信变得容易中断。如果站点之间有非基于 SSL 的 VPN,那么您只是增加了另一层防御。
此外,如果他们将来想要超越 HTTPS(他们很可能会这么做,每个人都会这么做),那么 VPN 可以满足这一点。
我赞同 Alnitak 的建议,即使用 SSL 进行相互认证,这样就需要双方的证书。
答案2
好吧,在 VPN 之上再加一层 HTTPS 确实看起来有点过分,因为它要对所有数据进行两次加密,但这只是轻微地过多的。
如果双方同意不使用 VPN 使用 HTTPS,那么至少要使用客户端证书,而不仅仅是密码。这比允许任何一台机器从任一站点进行连接更安全,并且可以防止有人偶然猜出密码来访问系统。
答案3
在我看来,当您想要在两个网络之间进行通信时,VPN 是强制性的,而 HTTPS 是“可选的”(但可能仍然是可取的,如果只是为了“纵深防御”的论点)。
一旦您运行 VPN,您就可以轻松地在其上运行任何您想要的服务,并且所有与安全相关的工作都已完成,包括任何 NAT 问题,以及向外部隐藏您的端口。
想想未来,如果您以后想要添加更多服务怎么办?您会搭载 HTTPS Web 服务吗?还是使用其他端口,并重复所有必需的安全验证?有了 VPN,这一切就变得非常简单。
答案4
如果这是为此目的而预算单独的 VPN 设备的借口,那就选一个并使用它(我喜欢 Juniper)。新要求不是免费的。别忘了买一对容错的。
我会选择 VPN — — 只是要确保公司不会因为该要求而默默承担额外的资本支出/运营支出成本 — — 确保它是清晰的。
这里的大多数问题您自己都无法回答 - 从技术上讲,如果他们做得正确,HTTPS 应该足够安全,但可能还存在与管理相关的其他问题,谁知道是什么让 VPN 如此有吸引力。也许他们只是想在私有 IP 空间而不是公共 IP 空间中运行。
这很可能是监管问题,在这种情况下,他们可能需要做各种你意想不到的事情。