Mat*_*der 2 security vpn openvpn hipaa
我目前正在与医疗保健行业的一位客户合作。部分工作将涉及接触敏感的患者健康信息 (PHI)。客户使用 AWS 并将其敏感数据保存在虚拟私有云中。
我需要连接到 VPN 服务器才能访问他们的 AWS 服务。他们使用 OpenVPN 客户端。
但是他们配置了 VPN,因此当我连接到它时,我所有的互联网流量都通过 VPN 服务器进行隧道传输,而不仅仅是绑定到他们网络资源的流量。这使我的互联网连接速度降低到大约 1.5 Mbps,这并不理想。
我向他们提出了这个问题,他们说“安全规则阻止任何人从除 VPN 端点之外的任何 IP 地址获取有关我们实例的任何信息。”。但除非我遗漏了什么,否则这并不能真正回答我的问题。
他们以这种方式设置 VPN 是否有任何真正的安全优势?
连接到 VPN 时,您(基本上)有两种模式:
全隧道:所有流量都通过 VPN 隧道;这是您的客户使用的设置
拆分隧道:只有发往远程网络的流量通过 VPN,其他流量(互联网)不通过
拆分隧道涉及两个风险:
1 - 您的互联网连接可能会受到威胁,攻击者可以通过您的机器访问远程网络。您的连接可能是安全的,也可能不是。客户无法控制您的互联网连接的安全性,因此他们确保您无法访问互联网,除了他们控制的连接之外,当您连接到他们的网络时。
2 - 正如 Ron Maupin 在评论中所解释的,远程网络中的用户可以绕过内部安全,通过您的 VPN 连接访问 Internet。他们可能会使用它来浏览危险站点或导出敏感数据。
附带说明一下,一些 VPN 客户端还会在您的计算机上执行自定义检查,通常是在授予对公司资源的访问权限之前查看是否有防病毒软件以及它是否是最新的。
就我个人而言,作为顾问同事,如果客户在为他们工作时将这种控制强加给我,我会说“是的,我明白了。谢谢。” 然后我会继续他们雇用我的业务。我会保存任何不相关的互联网浏览,直到我有自己的时间和自己的网络。希望你问这个问题是作为学术练习而不是试图绕过他们的控制或试图说服他们你认为他们错了。
如果我不是受雇来实施、审计客户当前的安全实践或向他们提供建议,那么作为顾问质疑这些实践或试图避免它们与我无关。
作为一名顾问,我不应该将我的意愿、意见或偏好强加于客户,而且指出“他们做错的一切”也不是我的职责,除非这是我与客户签订的合同的一部分. 你会遇到很多客户的情况,让你摇头或想知道为什么。最好的办法是保持自己的意见,并继续他们雇用并支付给你的工作。当然,我们也有责任关注客户的最大利益,因此有时您可能需要就某事发表意见,但这不是其中之一。