Le applicazioni web "per cliente" di un'azienda sono implementate nei loro ambienti di pre-produzione. È possibile accedere alle app in questi ambienti senza alcuna VPN. Tutto ciò di cui hai bisogno è l'URL pubblico. Dubito che sia possibile accedere al codice e ai database senza VPN.
Ci sono problemi di sicurezza in questa configurazione e questa è una pratica comune nelle aziende?
Non è una pratica comune. generalmente non è consigliato perché gli sviluppatori normalmente non codificano l'applicazione per comportarsi esattamente allo stesso modo in un ambiente di test. A volte il js non è minimizzato, a volte ci sono controller che dispongono di URL di debug, che potrebbero dare a qualcuno una visione di come si comporta l'applicazione dietro le quinte. In definitiva si tratta di quali informazioni sono disponibili in quell'ambiente e di che uso sarebbe per qualcuno che attacca l'applicazione di produzione. Ciò presuppone ovviamente che non ci siano dati reali nell'applicazione.
La parola chiave è questo tipo di scenario: segmentazione. La cosa principale che vuoi segmentare sono i dati. È necessario assicurarsi che non vi siano dati di produzione nell'ambiente di pre-produzione. Quindi per rispondere alla tua domanda dipende da cosa è accessibile in questo ambiente di pre-produzione. Se si tratta solo di un URL pubblico, è necessario assicurarsi che i normali controlli di sicurezza siano in atto per prevenire attacchi DDOS, MiM e così via.
Leggi altre domande sui tag authentication network vpn web-application