Confronto tra sito e VPN del sito con DMZ

In termini di best practice IT aziendali:

1) Un DMZ dovrebbe essere usato se l'applicazione richiede l'accesso da Internet pubblico. Ciò significa che gli utenti potrebbero non avere credenziali VPN o altri modi per accedere alla rete privata e devono essere esposti a Internet per poter essere utilizzati.

2) Le risorse private dovrebbero rimanere su reti private. Se l'applicazione deve essere utilizzata solo da un gruppo limitato che ha già accesso a una rete privata, la cosa migliore da fare è impostare una VPN. Quindi, la VPN incapsula il traffico e garantisce che l'applicazione / i server non possano essere port-scansionati o tentati di hackerare senza prima accedere alla VPN - rendendo così un ordine di grandezza più difficile per un avversario tentare di compromettere.

La ragione di ciò è dovuta al fatto che mentre un DMZ isola il server in questione, esso apre il server DMZ per tentativi di hacking su Internet pubblico. Da qui, un hacker può rubare credenziali ecc. Che potrebbero consentire loro di attraversare oltre la DMZ nella rete aziendale reale. Inoltre, molti DMZ hanno "buchi" in essi per cose come l'Autenticazione Active Directory, che lascia aperta una superficie di attacco aggiuntiva se il server DMZ viene compromesso.

In breve, i sistemi privati dovrebbero rimanere su reti private. Quindi, se questo sistema richiede solo l'accesso da un gruppo finito di persone che hanno già tutti accesso VPN, richiedere l'accesso VPN è sicuramente la migliore pratica.

In pratica, raramente vedo questo essere gestito dall'infrastruttura aziendale e invece succede che la società si iscrive a WAN a un fornitore che renderà trasparente l'accesso tra i siti e garantirà assolutamente che il traffico delle aziende non sia mescolato in alcun modo che altri clienti di quel provider possano incidere nel traffico.

Se non si dispone di tale servizio e si desidera eseguire il rollover in proprio, o forse non si è completamente fidati del servizio, una VPN site-to-site crittografata con AES256 sarebbe generalmente considerata una buona pratica. Il router di rete potrebbe essere in grado di farlo e sarebbe considerato una buona pratica, specialmente se tali funzionalità sono integrate nell'ingranaggio della rete di una marca di buon nome.

Un'altra opzione sarebbero i firewall su ciascun sito che stabiliscono la VPN da sito a sito. Che sia "migliore" rispetto all'utilizzo delle funzionalità IPSec nei router è un grande "dipende".

Dal punto di vista dei costi, meno scatole costano meno, aspirano meno energia, scaricano meno calore e occupano meno spazio nel rack. Dal punto di vista delle operazioni di sicurezza, più caselle significano più cose che preoccupano di essere configurate in modo errato e introducendo buchi di sicurezza, o meno scatole per essere sicuri che vengano sistemate regolarmente, meno scatole significano minore superficie d'attacco.

Non sei sicuro del motivo per cui sceglieresti di mettere il server su Internet pubblico in una DMZ se l'unico accesso proviene dall'interno dell'azienda dal sito A o B. Inserendolo in una DMZ sull'Internet pubblico potrebbe renderlo suscettibile alla sicurezza bug nel tuo firewall DMZ, errori di configurazione (che sono presenti fin dal primo giorno o introdotti tramite modifiche), ecc.

Le DMZ sono pensate per essere luoghi in cui si mettono server che devono assolutamente essere esposti alla rete Internet pubblica e non c'è alternativa. Se c'è un'alternativa, l'alternativa sarà sempre la via migliore. Non c'è nulla nella domanda che giustifichi l'assunzione di questo rischio.