TL: DR Ricerca di riferimenti molto autorevoli alla sicurezza dell'utilizzo di VPN per accedere ai servizi di rete aziendali.
Sto cercando di fare un argomento persuasivo a favore di un accesso VPN strettamente controllato ai server aziendali interni. Ciò significa che gli utenti esterni devono prima connettere un client al sito VPN per poter accedere ai servizi che vorremmo rendere disponibili ai lavoratori "in viaggio".
Attualmente le connessioni esterne vengono instradate attraverso il firewall direttamente al server (limitate alle relative porte del servizio TCP). Autenticazione e sicurezza sono responsabilità del server. Il firewall potrebbe essere in grado di riconoscere alcuni tipi di attacchi, ad esempio fraggle, syn-flood ecc. Ma non ha alcun modo di rilevare attacchi furtivi come forza bruta lenta, sfruttamento della vulnerabilità, ecc. Attualmente la gestione è stata comunicata da un appaltatore IT altrimenti rispettato utilizzato per l'infrastruttura approvvigionamento e supporto che la VPN come metodo di connessione ai servizi aziendali interni è intrinsecamente non sicuro . Tuttavia tale argomento è stato assorbito e ritenuto dal management.
Sto cercando un riferimento adeguatamente autorevole per supportare l'argomento secondo cui questi servizi dovrebbero essere protetti solo grazie al tunneling tramite una connessione VPN. Questo ci consentirebbe di rendere disponibili ulteriori servizi ai lavoratori remoti. Attualmente solo un servizio è disponibile in questo modo e senza una certa garanzia di sicurezza adeguata, rendere quindi disponibili altri servizi è impossibile. L'ironia è che l'azienda è felice di utilizzare i servizi cloud, anche se i costi diventano un problema in quanto le scale di utilizzo.
Il riferimento sarebbe idealmente uno dei seguenti; Un requisito di sicurezza del governo; o dichiarazioni / scritti di un esperto di tecnologia o autorità di sicurezza altamente prominente e ampiamente riconosciuto.
Ho cercato, ma poiché la necessità e la maggiore sicurezza di un'implementazione VPN corretta è praticamente solo ora "buon senso", c'è una mancanza di riferimento all'autorità in merito al perché "meglio con che senza".