Estamos instalando um aplicativo ASP.net fornecido pelo fornecedor no IIS 7.5, dando acesso a detalhes confidenciais do cliente para acesso remoto por nossa equipe. Eu estou querendo saber se é necessário usar uma VPN para protegê-lo. Usar uma VPN seria consideravelmente mais inconveniente para a equipe e fornecer mais acesso para clientes conectados ao resto da rede do que eu gostaria.
Sem VPN, o aplicativo seria protegido por HTTPS usando TLS. A única parte do software que deve ser acessível à Web como um todo seria a página de login. O aplicativo pode ser configurado para usar um método de autenticação completamente integrado ou autenticação do Active Directory via NTLM (provavelmente de preferência).
Estou um pouco preocupado com a segurança do aplicativo. O desenvolvedor não realizou nenhum teste de penetração de terceiros e, a partir de minha investigação, parece que as senhas para a autenticação interna são armazenadas com criptografia reversível em vez de hash.
Quanta segurança adicional você acha que usar uma VPN ofereceria se dependesse do HTTPS e da autenticação do aplicativo? Alguma pergunta que eu possa fazer ao desenvolvedor ou maneiras de testar o aplicativo para verificar se há vulnerabilidades?
Segurança VPN versus TLS antigo simples - Pergunta semelhante que foi útil, mas não focado em avaliar uma aplicação fornecida
Eu diria que, se não puder ser provado e demonstrado que o aplicativo é 100% seguro do fornecedor sem a necessidade de uma camada extra, vá em frente e use a VPN.
Você incorrerá na sobrecarga da VPN, dependendo do nível de criptografia usado, mas fornecerá a tranquilidade.
Basicamente, para responder a pergunta original. Uma aplicação web pode ser confiável quando é mostrada.
Tanto "VPN" quanto "HTTPS" não possuem segurança inerente. Você deve especificar medidas de segurança mínimas que cada uma delas adota para garantir uma conexão. A configuração de qualquer uma delas é uma informação vital que você precisará para determinar qual é a sua situação mais adequada.
Portanto, descubra quais são as medidas de segurança mínimas exigidas, digamos, criptografia AES-128, integridade SHA-1 e algum tipo de autenticação (o NTLM é fraco; sugiro HTTP-DIGEST ou Kerberos se você conseguir naquela).
Em seguida, compare esse requisito com a segurança mínima permitida por cada tipo de conexão. O HTTPS será mais conveniente, portanto, se os mínimos forem iguais ou superiores aos requisitos, ele deverá ser usado. Se nem VPN nem HTTPS atenderem aos seus requisitos, é hora de reavaliar seus requisitos ou o produto do fornecedor.
As coisas que você mencionou como preocupações de segurança não são propriamente para uma discussão sobre VPN IPSec vs. SSL.
Se o fornecedor estiver usando práticas inadequadas para proteger seus aplicativos, eles provavelmente também estarão negligenciando outras áreas.
Se você disse que estava preocupado com o fato de seu cliente ter suas sessões SSL sequestradas, isso pode ser um argumento a favor de uma VPN IPSec.