我们想通过互联网公开一个networking应用程序。 显而易见的解决scheme是使用TLS和RBAC通过HTTP进行访问。
通过使用VPN增强安全性,甚至可以进一步locking访问权限,如果是的话,又如何? 据我所知,一个VPN肯定会添加麻烦,因为客户端需要一个VPN客户端,并行的networking活动可能会受到限制,当连接到VPN。
该解决scheme很大程度上取决于您的身份validation方法和用户群。 VPN访问对build筑师来说只是比较简单的,但是你可能会暴露更多的内部networking,而不是你想要的这些应用程序用户,而且你会听到无数用户的抱怨,他们现在必须跳过至less2个以上的连接,validation到VPN。
你必须首先找出你将在哪里find服务器:
那么如果只是针对内部用户而不是外部成员。 使用Kerberos,NTLM,PKI,内部应用程序authentication(数据库)或networking服务器(.htpass / LDAP),有许多与现有用户数据库集成的选项。
如果是内部员工,那么通过Verisign或Entrustpipe理PKI可能是值得研究的。 这使您可以pipe理和部署公钥/私钥身份validation的安全证书。 您可以将服务器置于反向代理(mod_security)中,以监视和过滤Internet攻击,然后通过证书进行身份validation( 示例 )。 虽然这很贵。
如果是公共消费,那么标准的HTTPS + LDAP往往是最经济的select。 您可以每晚同步LDAPangular色数据库等,以避免必须pipe理多组用户帐户。
我们实际上select坚持与VPN的前几个阶段,我们的networking应用程序。 我们对用户笔记本电脑有足够的控制能够支持开销和维护安全。 最终,我们将使用托pipe的PKI以及AD / LDAP同步。 为RBAC。 祝你好运。
我不认为VPN会增加任何积极的应用程序的安全性。