Prima di tutto, la mia domanda è correlata alla sicurezza delle applicazioni Web.
Spesso, quando voglio suggerire ai clienti di passare al cloud per determinate applicazioni, mi viene detto che i nostri clienti sono riluttanti a farlo a causa di considerazioni sulla sicurezza, anche se non sarebbe necessario archiviare i dati nel cloud. Con ciò intendo, i dati vengono memorizzati solo nei loro sistemi back-end. Questi sistemi di back-end sono ospitati sui propri server all'interno della loro rete. I sistemi di back-end offrono servizi Web che possono essere crittografati con SSL. I sistemi di back-end non saranno esposti direttamente a Internet, il traffico verrà instradato su componenti di rete aggiuntivi come proxy inversi, firewall e così via. Inoltre, i dati vengono instradati su una piattaforma cloud di terze parti su cui è ospitata l'applicazione web. La piattaforma cloud è fornita dalla stessa società (SAP.com) che fornisce il software per i sistemi di back-end. E questo scenario dovrebbe non essere sicuro.
Tuttavia, per questi clienti abbiamo un accesso remoto ai loro sistemi di back-end produttivi tramite la VPN del cliente (ad esempio VPN IPSec, Citrix).
Dopo aver letto link sono giunto alla conclusione che sia i dati "crittografati" della VPN sia i dati crittografati TLS può essere decodificato se la crittografia è debole e gli hacker hanno un budget sufficiente per rompere la crittografia. La mia comprensione è che questi due scenari (VPN tramite dati su diversi componenti di rete crittografati con TLS) offrono fondamentalmente gli stessi standard di sicurezza se eseguiti correttamente - Qual è la differenza di sicurezza tra una connessione VPN e SSL? mi ha aiutato in quel contesto . La mia comprensione è corretta o mi mancano alcuni aspetti?