HTTPS vs. VPN para comunicação entre parceiros de negócios?

6

Um parceiro de negócios solicitou a configuração de uma VPN site a site apenas para que alguns servidores possam se comunicar entre si por HTTPS. Estou convencido de que isso não é necessário ou mesmo desejável. Para ser justo, deve fazer parte de uma política mais ampla, potencialmente até mesmo uma exigência legal. No entanto, gostaria de convencê-los a simplesmente oferecer um IP para nós (e somente para nós) e uma porta de sua escolha para HTTPS.

Alguém já teve uma experiência semelhante ou teve que criar um argumento de ferro fundido contra uma VPN?

Permita-me expandir um pouco - temos um serviço da web que inicia uma conexão com o serviço correspondente do parceiro usando uma conexão HTTP criptografada. A conexão usa um certificado de cliente para autenticar. A conexão é protegida por firewall, portanto, somente nossos IPs podem entrar em contato com o serviço. Então, por que uma VPN é necessária?

    
por Cawflands 14.08.2009 / 15:47

6 respostas

7

Eu diria que a VPN pode ser considerada defesa em profundidade. Veja todos os recentes ataques contra SSL e HTTPS, que tornam a comunicação quebrável. Se você tem uma VPN entre os sites que não são baseados em SSL, você está apenas adicionando outra camada de defesa.

Além disso, se eles quiserem estender o HTTPS passado no futuro (e provavelmente o farão, todo mundo faz isso), a VPN pode acomodar isso.

Eu seria a segunda sugestão de Alnitak para fazer a autenticação mútua com SSL, de modo que isso exigiria certificados de ambos os lados.

    
por 14.08.2009 / 15:59
5

Bem, o HTTPS em camadas em cima de uma VPN parece um pouco excessivo, pois está criptografando tudo duas vezes, mas é apenas um pouco excessivo.

Se você concordar mutuamente em usar HTTPS sem a VPN, faça pelo menos os certificados do lado do cliente e não apenas as senhas. Isso seria mais seguro do que permitir que qualquer máquina de qualquer site se conectasse e impediria que alguém descobrisse uma senha acessando o sistema.

    
por 14.08.2009 / 15:54
2

IMO, uma VPN é obrigatória quando você quer falar entre duas redes e o HTTPS 'o opcional' (mas ainda pode ser desejável, se apenas para o argumento 'defesa em profundidade').

Assim que a VPN estiver em execução, é fácil executar o serviço que você deseja nela, e todo o trabalho relacionado à segurança já está feito, incluindo qualquer problema de NAT, e também ocultando suas portas de fora.

Pense no futuro, e se mais tarde você quiser adicionar mais serviços? você pegaria carona no seu serviço da Web HTTPS? ou usar outra porta e repetir todas as validações de segurança necessárias? Com uma VPN no lugar, é muito simples de fazer.

    
por 14.08.2009 / 16:49
1

A VPN deve / pode ser muito mais segura do que HTTPS, mas realmente não deve haver um problema usando os dois juntos, a menos que você esteja em um link muito lento. Eu apenas aceito a complexidade sabendo que você será impermeável.

    
por 14.08.2009 / 16:54
0

SE for uma desculpa para orçamentar um dispositivo VPN separado para este fim, escolha um e use-o (gosto do Juniper). Novos requerimentos não são gratuitos. Não se esqueça de obter um par tolerante a falhas.

Eu optaria pela VPN - apenas certifique-se de que o custo de capex / opex adicionado à empresa por causa do requisito não seja absorvido silenciosamente - verifique se ela está clara.

A maioria das perguntas aqui você não pode responder por si mesmo - tecnicamente HTTPS deve ser seguro o suficiente se eles estão fazendo certo, mas pode haver outras coisas acontecendo em relação à administração e quem sabe o que fazer VPN atraente. Talvez eles só queiram rodar em espaço privado de IP ao invés de público.

Muito bem poderia ser regulamentar, e nesse caso eles talvez precisassem fazer todos os tipos de coisas que você não prevê.

    
por 14.09.2010 / 05:43
-1

Use HTTP sobre TLS ou HTTP sobre IPsec, mas não ambos ao mesmo tempo que é uma sobrecarga. Nem o TLS nem o IPsec protegem totalmente. O pipe IPsec é interrompido no firewall de roteamento de borda, enquanto o pipe TLS quebra em algum ponto dentro da zona DMZ. Para aumentar a segurança da chamada de serviço da web, você teria que adicionar criptografia e autenticação em nível de carga (aplicativo). O problema com HTTPS é que um usuário deve confiar em uma conexão HTTPS com um site se, e somente se, todas as condições a seguir forem verdadeiras: O usuário confia que o software do navegador implementa corretamente HTTPS com autoridades de certificação pré-instaladas corretamente. O usuário confia na autoridade de certificação para atestar apenas sites legítimos. O site fornece um certificado válido, o que significa que foi assinado por uma autoridade confiável. O certificado identifica corretamente o site. Os saltos intermediários na Internet são confiáveis ou o usuário confia que a camada de criptografia do protocolo (TLS / SSL) é suficientemente segura contra intrusos.

    
por 09.01.2015 / 01:18

Tags