我目前正在与医疗行业的客户合作。 部分工作将涉及敏感患者健康信息(PHI)的接触。 客户端使用AWS并将其敏感数据保存在虚拟私有云中。
我需要连接到VPN服务器才能访问其AWS服务。 他们使用OpenVPN客户端。
但是他们configuration了VPN,所以当我连接到VPN时,所有的互联网stream量都通过VPN服务器传输,而不仅仅是networking资源的stream量。 这会使我的networking连接速度下降到1.5 Mbps左右,这并不理想。
我把它和他们联系起来,他们说:“安全规则阻止任何人从除了VPN端点以外的任何IP地址获得关于我们实例的任何信息。” 但是,除非我错过了一些东西,这并不能真正回答我的问题。
他们有没有真正的安全优势来build立他们的VPN?
连接到VPN时(基本上)有两种模式:
全隧道:所有stream量都通过VPN隧道; 这是客户使用的设置
拆分隧道:只有发往远程networking的stream量通过VPN,其他stream量(互联网)不通过
分裂隧道有两个风险:
1 – 您的互联网连接可能受到危害,攻击者可以通过您的计算机访问远程networking。 你的连接可能是安全的,或不。 客户无法控制您的互联网连接的安全性,因此他们确保在您连接到networking的情况下,除了他们所控制的连接以外,您无法访问互联网。
2 – 正如Ron Maupin在评论中所解释的那样,远程networking中的用户可以绕过内部安全来通过您的VPN连接获得Internet访问权限。 他们可能会用这个来浏览危险网站或输出敏感数据。
另外,有些VPN客户端还会在您的计算机上执行自定义检查,通常在授予对公司资源的访问权限之前查看是否存在防病毒软件以及是否是最新的。
就个人而言,作为一名顾问,如果一个客户在为我们工作的同时对我进行这种控制,我会说: “是的,我明白了,谢谢。 然后我会继续讨论他们雇用我的业务。 我会保存任何不相关的互联网浏览,直到我自己的时间和我自己的networking。 希望你问这个问题是一个学术性的练习,而不是试图摆脱他们的控制,或试图说服他们,你认为他们是错的。
如果我没有聘请实施,审计或就客户当前的安全做法提出build议,那么作为顾问来质疑这些做法或试图避免这些做法,这不是我的任何业务。
作为一名顾问,我并不是把自己的意愿,意见或偏好强加给客户,除非这是我与客户签订合同的一部分,否则我的业务不是指出他们做错了什么。 你会遇到很多与客户的情况,让你摇头或想知道为什么。 最好的办法是把自己的意见留给自己,继续他们所雇用的工作,并付钱给你。 当然,我们也有责任关注客户的最大利益,所以有时候你需要谈论某些事情,但这不是那个时候的事情。