In uno scenario in cui una rete wireless è fornita come non sicura dietro un firewall, utilizzando le VPN per raggiungere il Datacenter affidabile. Qualcuno ha una ragione per cui questo dovrebbe / non essere espanso per includere le porte edge cablate - essenzialmente portando il firewall attorno al datacenter e rendendo la LAN non affidabile. Salverebbe la distribuzione di 802.1x e consentirebbe la condivisione di rete con altri partner.
Dipende tutto dal tuo modello di sicurezza, ma come Google ha recentemente scoperto , anche se possiedi il collegamento tra i tuoi server, non puoi ancora presumere che sia sicuro.
L'idea di rafforzare il bordo della tua rete con una protezione adeguata e poi giocare "tutto ciò che va" con gli interni è una tattica popolare, ma che ha implicazioni di sicurezza significative e disastrose. Una volta che il tuo perimetro è stato violato, non hai protezione. E una società dopo l'altra ha scoperto che una violazione del perimetro non è impossibile come suggerirebbe il diagramma di pianificazione della rete.
Idealmente, dovresti avere crittografia e sicurezza da host a host, con ogni nodo un'isola protetta individualmente. Il corretto funzionamento può variare da "costoso e complicato" a "pazzesco-costoso e incredibilmente complicato", ma se si progetta il sistema correttamente, si dovrebbe essere in grado di sicuro esporre l'intero interno rete per l'Internet pubblica. Ovviamente, non lo faresti mai fare , ma dovresti essere in grado di . È difesa in profondità .
Perché no? Perché si potrebbe desiderare di avere il controllo sulla LAN come preoccupazione separata rispetto al Datacenter. Altrimenti, poiché non so cosa tu abbia sulla LAN e quale classificazione siano queste risorse, ogni LAN potrebbe essere classificata come "pubblica".
Si tratta di classificare le tue risorse e posizionare le protezioni appropriate per tali risorse. "Classificazione" è il problema alla base della tua domanda originale. Se non ti interessa il WIFI o la LAN, allora riduci le protezioni in quelle aree e lascia che sia un free-for-all. Non c'è bisogno di autenticazione, convalida del traffico, ecc. Una volta che inizi a preoccuparti, però, assicurati che ti importi abbastanza.
Classifica le risorse, gli utenti e i dati. Regola empirica: la classificazione più debole (ad esempio "pubblico") persiste anche a quegli elementi a cui si connettono. Disegna la separazione degli oggetti da quella prospettiva.
Quindi, se tutto quello che si sta classificando è il Datacenter, come risultato si classifica automaticamente il resto come "pubblico". Se questo si adatta alla tua situazione, va bene. In caso contrario, è necessario impiegare un po 'più di design.
Leggi altre domande sui tag vpn datacenter