我目前正在与医疗保健行业的一位客户合作。部分工作将涉及接触敏感的患者健康信息 (PHI)。客户使用 AWS 并将其敏感数据保存在虚拟私有云中。
我需要连接到 VPN 服务器才能访问他们的 AWS 服务。他们使用 OpenVPN 客户端。
但是他们配置了 VPN,因此当我连接到它时,我的所有互联网流量都会通过 VPN 服务器进行传输,而不仅仅是发往他们网络资源的流量。这使我的互联网连接速度降低到大约 1.5 Mbps,这并不理想。
我向他们提出了这个问题,他们说“安全规则禁止除 VPN 端点之外的任何 IP 地址的任何人获取有关我们实例的任何信息。”但除非我遗漏了什么,否则这并没有真正回答我的问题。
以这种方式设置 VPN 是否具有真正的安全优势?
答案1
连接到 VPN 时,基本上有两种模式:
完整隧道:所有流量都通过 VPN 隧道;这是您的客户使用的设置
分割隧道:只有发往远程网络的流量才能通过 VPN,其他流量(互联网)则不会
分离隧道存在两种风险:
1 - 您的互联网连接可能受到威胁,攻击者可以通过您的机器访问远程网络。您的连接可能是安全的,也可能不是。客户无法控制您的互联网连接的安全性,因此他们会确保您在连接到他们的网络时,除了他们控制的连接之外,无法访问互联网。
2 - 正如 Ron Maupin 在评论中解释的那样,远程网络内的用户可以绕过内部安全措施,通过您的 VPN 连接访问互联网。他们可能会利用这一点浏览危险网站或导出敏感数据。
附注:一些 VPN 客户端还会对您的机器执行自定义检查,通常是在授予对公司资源的访问权限之前查看是否有防病毒软件以及是否是最新的。
答案2
就我个人而言,作为一名顾问,如果客户在我为他们工作时对我施加这种控制,我会说“是的,我明白。谢谢你。”然后我就会继续做他们雇佣我做的工作。我会把任何不相关的互联网浏览留到我自己的时间和我自己的网络。希望你问这个问题是为了学术练习,而不是为了逃避他们的控制或试图说服他们你认为他们错了。
如果我没有被雇来实施、审计或为客户提供有关其当前安全实践的建议,那么作为顾问,质疑这些实践或试图避免它们就不是我的职责。
作为顾问,我无权将自己的意愿、观点或偏好强加给客户,我也没有义务指出“他们做错的一切”,除非这是我与客户签订的合同的一部分。在与客户打交道时,你会遇到很多让你摇头或疑惑不解的情况。最好的办法是保留自己的意见,继续完成他们雇佣并付钱给你的工作。当然,我们也有责任为客户谋取最大利益,所以有时你需要就某事发表意见,但这不是其中之一。