一位业务合作伙伴要求设置站点到站点 VPN,以便一些服务器可以通过 HTTPS 相互通信。我确信这不是必需的,甚至是不可取的。公平地说,它必须是更广泛政策的一部分,甚至可能是法律要求的一部分。但是,我想说服他们简单地向我们(并且仅限于我们)提供一个 IP 以及他们为 HTTPS 选择的端口。
有没有人有过类似的经历,或者不得不提出反对 VPN 的铁证词?
请允许我稍微扩展一下 - 我们有一个 Web 服务,它使用加密的 HTTP 连接启动与合作伙伴的相应服务的连接。该连接使用客户端证书进行身份验证。连接有防火墙,因此只有我们的 IP 可以联系服务。那么为什么需要VPN呢?
小智 8
我会说 VPN 可以被认为是纵深防御。查看最近针对 SSL 和 HTTPS 的所有攻击,它们使通信变得易碎。如果您在站点之间有一个不是基于 SSL 的 VPN,那么您只是添加了另一层防御。
此外,如果他们想在未来超越 HTTPS(他们很可能会,每个人都会这样做),那么 VPN 可以适应这一点。
我会支持 Alnitak 的建议,即使用 SSL 进行相互身份验证,因此双方都需要证书。
好吧,鉴于 VPN 对所有内容都进行了两次加密,因此在 VPN 之上分层 HTTPS 确实有点过分,但只是略有过分。
如果你们都同意在没有 VPN 的情况下使用 HTTPS,那么至少要使用客户端证书,而不仅仅是密码。这比只允许任一站点的任何机器连接更安全,并且会阻止碰巧知道密码的人访问系统。
| 归档时间: |
|
| 查看次数: |
17601 次 |
| 最近记录: |