HTTPS vs. VPN para comunicação entre parceiros de negócios?

Eu diria que a VPN pode ser considerada defesa em profundidade. Veja todos os recentes ataques contra SSL e HTTPS, que tornam a comunicação quebrável. Se você tem uma VPN entre os sites que não são baseados em SSL, você está apenas adicionando outra camada de defesa.

Além disso, se eles quiserem estender o HTTPS passado no futuro (e provavelmente o farão, todo mundo faz isso), a VPN pode acomodar isso.

Eu seria a segunda sugestão de Alnitak para fazer a autenticação mútua com SSL, de modo que isso exigiria certificados de ambos os lados.

Bem, o HTTPS em camadas em cima de uma VPN parece um pouco excessivo, pois está criptografando tudo duas vezes, mas é apenas um pouco excessivo.

Se você concordar mutuamente em usar HTTPS sem a VPN, faça pelo menos os certificados do lado do cliente e não apenas as senhas. Isso seria mais seguro do que permitir que qualquer máquina de qualquer site se conectasse e impediria que alguém descobrisse uma senha acessando o sistema.

IMO, uma VPN é obrigatória quando você quer falar entre duas redes e o HTTPS 'o opcional' (mas ainda pode ser desejável, se apenas para o argumento 'defesa em profundidade').

Assim que a VPN estiver em execução, é fácil executar o serviço que você deseja nela, e todo o trabalho relacionado à segurança já está feito, incluindo qualquer problema de NAT, e também ocultando suas portas de fora.

Pense no futuro, e se mais tarde você quiser adicionar mais serviços? você pegaria carona no seu serviço da Web HTTPS? ou usar outra porta e repetir todas as validações de segurança necessárias? Com uma VPN no lugar, é muito simples de fazer.

A VPN deve / pode ser muito mais segura do que HTTPS, mas realmente não deve haver um problema usando os dois juntos, a menos que você esteja em um link muito lento. Eu apenas aceito a complexidade sabendo que você será impermeável.

SE for uma desculpa para orçamentar um dispositivo VPN separado para este fim, escolha um e use-o (gosto do Juniper). Novos requerimentos não são gratuitos. Não se esqueça de obter um par tolerante a falhas.

Eu optaria pela VPN - apenas certifique-se de que o custo de capex / opex adicionado à empresa por causa do requisito não seja absorvido silenciosamente - verifique se ela está clara.

A maioria das perguntas aqui você não pode responder por si mesmo - tecnicamente HTTPS deve ser seguro o suficiente se eles estão fazendo certo, mas pode haver outras coisas acontecendo em relação à administração e quem sabe o que fazer VPN atraente. Talvez eles só queiram rodar em espaço privado de IP ao invés de público.

Muito bem poderia ser regulamentar, e nesse caso eles talvez precisassem fazer todos os tipos de coisas que você não prevê.

Use HTTP sobre TLS ou HTTP sobre IPsec, mas não ambos ao mesmo tempo que é uma sobrecarga. Nem o TLS nem o IPsec protegem totalmente. O pipe IPsec é interrompido no firewall de roteamento de borda, enquanto o pipe TLS quebra em algum ponto dentro da zona DMZ. Para aumentar a segurança da chamada de serviço da web, você teria que adicionar criptografia e autenticação em nível de carga (aplicativo). O problema com HTTPS é que um usuário deve confiar em uma conexão HTTPS com um site se, e somente se, todas as condições a seguir forem verdadeiras: O usuário confia que o software do navegador implementa corretamente HTTPS com autoridades de certificação pré-instaladas corretamente. O usuário confia na autoridade de certificação para atestar apenas sites legítimos. O site fornece um certificado válido, o que significa que foi assinado por uma autoridade confiável. O certificado identifica corretamente o site. Os saltos intermediários na Internet são confiáveis ou o usuário confia que a camada de criptografia do protocolo (TLS / SSL) é suficientemente segura contra intrusos.