如果一个完全隔离的网络由 100% 诚实的系统管理员管理,当只有少数身份不明的低权限恶意用户可以访问时,是否有必要使用 SSL 保护敏感资源?
答案1
嗯,这取决于贵组织的安全政策。
如果通信非常敏感,我建议使用 SSL;如果网络上有潜在的恶意用户,ARP 中毒攻击可能会危及您未加密的通信,从而允许攻击者拦截和/或修改其他节点之间的通信。
答案2
is it necessary to secure sensitive resources with SSL when only a handful of unidentified low-privilege malicious users have access?
是的。
您说有恶意实体可以访问网络,因此您必须将敏感信息视为这些用户正在积极尝试拦截它并做坏事™。
(恶意实体的权限级别在这种特殊情况下并不重要:请记住,除了从线路读取流量并将其自己的流量放到线路上的物理能力之外,没有任何权限的用户仍然可以在给定时间和动机的情况下劫持不安全的连接。)
您还说您的系统管理员是100% honest:您如何量化这一点?您如何知道新员工是内奸,还是现有员工心怀不满?当您开始考虑安全性时,您需要考虑所有这些事情……
老实说,即使你的网络是真正隔离的,并且没有恶意用户,我还是会使用 SSL:在大多数实现中,它对应用程序层几乎是透明的,而且 SSL 的计算开销相对较低。
使用加密/认证连接可以为你提供额外的保险,以防你的网络设计出现漏洞,让恶意用户嗅探/注入流量,这几乎总是值得的。
答案3
“完全孤立的网络”......在我的整个工作生涯中,我只遇到过一个这样的网络,它既完全孤立,又可能保持这种状态。
越来越多的设备被连接到网络和互联网上——为什么有人会把一台用于提取武器级重金属的离心机接入网络?这是常有的事。
...并且决定等到您连接上之后再实施安全措施是一个非常糟糕的理由,因为不实施足够的安全措施 - 安全措施应该是整体的和集成的 - 尽快实施它(最好与实施其旨在保护的系统同时实施)意味着知识、技能和论坛近在咫尺。
我认为唯一可接受的折衷方案是推迟从蛇油到 CA 签名证书的转换。