我们希望有自托管的 slack 替代方案(mattermost、rocket.chat),但将其隐藏在 VPN 后面对于某些用户来说不舒服。
如果它不是公开的,我会感到更安全,但它到底有多危险?
我相信这个问题可以应用于所有开发应用程序,例如:gitlab,redmine 等。
答案1
您可以通过查看您感兴趣的每个软件包的更新速度和特定于安全发布的信息来进行评估。
对于那些在没有防火墙或 VPN 保护的情况下公开运行第三方/开源应用程序的人来说,常见的情况是,他们未能保持这些应用程序及其依赖项的更新,然后在这些应用程序过期后的一段时间内,他们的系统就会受到损害。
对于 Wordpress 之类的程序来说,从公布安全问题到发起攻击之间的时间最短,攻击可以在几分钟内开始。
但是所有开源应用程序都存在安全问题,需要不断更新,而且攻击者会寻找表示漏洞的签名。
这种姿态对您而言是否构成重大风险,在很大程度上取决于具体情况,既取决于妥协和暴露的影响、攻击者对您的吸引力,也取决于替代方法的成本(财务、人力和运营)。
通常,聊天中会透露公司敏感信息,开发工具当然会保管重要资产。但从攻击者的角度来看,海里有很多鱼,许多高度脆弱的系统都未受到攻击。
但最终,这就是人们最终使用 SAAS 服务的原因,除非他们有自我托管的战略需求,并且能够以比业余爱好者更专业的水平进行托管。对于最终的定义,业余爱好者托管最终将不可避免地以妥协告终。
答案2
... 将其隐藏在 VPN 后面会让我们的一些用户感到不舒服。
复杂的软件总是有可能存在错误和漏洞。如果您的公司信息很敏感,但 VPN 又感觉有点过头,请考虑使用客户端证书通过 HTTPS 运行您的 Web 服务(我相信 Mattermost 和 Rocket.chat 都基于 Web 协议运行)。
您的用户将会遇到将他们的证书安装到浏览器中的不便,但您将有效地减少对网络服务器实现非对称加密的可能攻击媒介。