Sicurezza della VPN da sito a sito vs VPN client

Rispetto a:

We are concerned mainly because we fear that we become an integral part of their network and become partly responsible for its safety.

A meno che tu non abbia un requisito contrattuale che impone quella responsabilità, dovrebbe rimanere il loro rischio ... non c'è nulla che impedisca alle connessioni in entrata VPN di essere soggette a controlli per limitare l'accesso / i servizi ... dovrebbe essere già presente e quindi il passare dalla VPN del dispositivo client alla VPN da sito a sito non dovrebbe introdurre un cambiamento in questo senso.

La loro architettura non dovrebbe essere interamente dipendente dalla sicurezza della tua rete (anche se vedi sotto).

Rispetto a:

We think that it's easier that a hacker gets into our firewall on saturday night and penetrates the firm's network, than that a hacker gets into our network during the day and gets to the right PC at the right time when the VPN is in use.

Potrebbe essere che dal tuo punto di vista tu abbia ragione (anche se probabilmente è un falso senso di sicurezza nella realtà). Tuttavia, a seconda del modo in cui i laptop accedono a Internet, l'organizzazione a cui ci si connette potrebbe dover accettare connessioni da un ampio intervallo di indirizzi, quindi se possono limitare questo a un indirizzo IP (noto) associato a una VPN sito-sito essi stanno potenzialmente riducendo la superficie di attacco applicabile alla loro rete.

Le VPN site-site possono avere vantaggi di configurazione rispetto alle VPN del sito client, ma dipende dallo scenario se sono applicabili.

Se stanno facendo le cose correttamente imporranno obblighi legali per te per consentire la connessione al loro sistema (patching, AV ecc.).

Se hai dubbi sul fatto che potresti essere hackerato concentrerei la tua attenzione su questo rischio piuttosto che sul tipo di VPN proposto, idealmente dovresti capire abbastanza sui tuoi controlli per avere fiducia nella sicurezza del tuo sistema.

Hmmm.

Diciamo che "usare il client Cisco" mi fa pensare che stai già utilizzando una VPN.

Sembra strano che tu sia il fornitore di servizi che il tuo cliente dovrebbe dettare come fornisci quel servizio. Soprattutto se si tratta di un servizio puramente tecnico (ad esempio un'applicazione web based). Posso capire che se si tratta di un servizio aziendale in più - come la gestione di più dispositivi all'interno della rete dei clienti, che una VPN sarebbe la soluzione giusta - ma per qualche tipo di servizio applicativo una VPN è l'approccio sbagliato - per impostazione predefinita dà troppa accessibilità che dovrai poi adattare al minimo necessario per eseguire la funzione. OTOH utilizza un servizio con wrapping TLS, con la convalida del certificato client, protegge sia te che il tuo cliente.

Dato che sembra che tu stia nella situazione in cui il tuo cliente pensa che un sito al sito sia l'unica soluzione praticabile, è ovviamente abbastanza possibile impostare una "rete" alla tua fine che (dalla tua prospettiva) sembra essere parte della rete del cliente e implementare semplicemente una migliore soluzione di connettività da lì nella rete attuale. Ma questo è in gran parte una congettura - non so nulla di ciò che questo servizio è, né le motivazioni dei tuoi clienti - hai davvero bisogno di parlare con loro e capire il problema correttamente (o fornire maggiori informazioni qui).