Клиент хочет направить весь мой интернет-трафик через свой VPN, но почему?
В настоящее время я работаю с клиентом в секторе здравоохранения. Часть работы будет включать контакт с конфиденциальной информацией о состоянии здоровья пациента (PHI). Клиент использует AWS и хранит свои конфиденциальные данные в виртуальном частном облаке.
Требуется, чтобы я подключился к VPN-серверу, чтобы получить доступ к их сервисам AWS. Они используют OpenVPN клиент.
Но у них настроена VPN, так что когда я подключаюсь к ней, весь мой интернет-трафик проходит через VPN-сервер, а не только трафик, связанный с их сетевыми ресурсами. Это замедляет мое интернет-соединение примерно до 1,5 Мбит / с, что не идеально.
Я рассказал им об этом, и они сказали, что "правила безопасности запрещают кому-либо с любого IP-адреса, кроме конечной точки VPN, получать информацию о наших экземплярах". Но если я что-то упустил, это на самом деле не отвечает на мой вопрос.
Есть ли у них реальные преимущества в плане безопасности при настройке VPN таким образом?
2 ответа
У вас (в основном) есть два режима при подключении к VPN:
полное туннелирование: весь трафик проходит через VPN-туннель; это настройка, которую использует ваш клиент
разделенное туннелирование: только трафик, предназначенный для удаленной сети, проходит через VPN, другой трафик (Интернет) не
Существует два риска, связанных с разделенным туннелированием:
1 - ваше интернет-соединение может быть взломано, и злоумышленник может получить доступ к удаленной сети через ваш компьютер. Ваше соединение может быть защищено или нет. У клиента нет возможности контролировать безопасность вашего интернет-соединения, поэтому он удостоверяется, что у вас нет доступа к интернету, кроме соединения, которым он управляет, пока вы подключены к его сети.
2 - как объяснил Рон Мопин в комментарии, пользователь внутри удаленной сети может обойти внутреннюю безопасность, чтобы получить доступ в Интернет через ваше VPN-соединение. Они могут использовать это для просмотра опасных сайтов или для экспорта конфиденциальных данных.
Как примечание, некоторые VPN-клиенты также выполняют пользовательские проверки на вашем компьютере, как правило, чтобы узнать, есть ли антивирусное программное обеспечение и обновлено ли оно до предоставления доступа к корпоративным ресурсам.
Лично, будучи коллегой-консультантом, если клиент навязывал мне такой тип контроля при выполнении работы за него, я бы сказал: "Да, я понимаю. Спасибо". и тогда я продолжу заниматься бизнесом, для которого меня наняли. Я бы сохранил любой не имеющий отношения к работе в интернете, пока у меня не будет свободного времени и собственной сети. Надеюсь, вы задаете этот вопрос как учебное упражнение, а не пытаетесь обойти их контроль или попытаться убедить их, что вы думаете, что они не правы.
Если меня не нанимают внедрять, проверять или консультировать клиента по поводу его нынешних методов обеспечения безопасности, тогда я не являюсь консультантом, чтобы ставить под сомнение эти методы или пытаться их избегать.
Как консультант, я не могу навязывать свою волю, мнения или предпочтения клиенту, и не мое дело указывать на "все, что они делают неправильно", если это не является частью моего контракта с клиентом., Вы столкнетесь с множеством сценариев с клиентами, которые заставляют вас качать головой или удивляться, почему. Лучшее, что можно сделать, - это оставить свое мнение при себе и продолжить работу, которую они наняли и за которую платят. Конечно, мы также должны заботиться о наилучших интересах наших клиентов, поэтому могут быть моменты, когда вам нужно о чем-то говорить, но это не один из таких случаев.