Widzę, że ludzie używają VPN z usługami chmurowymi, takimi jak Gmail, Google Drive, SalesForce, Basecamp. Wszystkie te usługi działają na HTTPS. Nie widzę, jak VPN mógłby tutaj coś dodać. Cały ruch jest już zaszyfrowany. Jak VPN mógłby pomóc? Czy czegoś nie rozumiem?
Nawet jeśli jesteś podłączony do otwartej sieci WiFi i ktoś przechwyci ruch, jedyne co zobaczy, to strony, które przeglądasz, a nie treść, ponieważ wszystko jest zaszyfrowane.
W zależności od Twojej polityki, może istnieć konfiguracja umożliwiająca dostęp do określonych zasobów tylko z konkretnych adresów IP, więc być może tak to wygląda.
Wymuszamy korzystanie z VPN, aby móc korzystać z funkcji UTM z zapór sieciowych w centrali przeciwko ich połączeniom. Jest to też łatwiejsze do izolacji usług chmurowych od dostępu przez zakresy IP/funkcje warunkowego dostępu, jeśli korzysta się z MS365 itp.
sparkle serious placid soft screw worthless flag stocking different dog
Ten post został masowo usunięty i zanonimizowany za pomocą Redact
Na forum już są dobre, solidne odpowiedzi, a są też te mniej typowe. Czegoś, co jeszcze nie zostało wspomniane, jest fakt, że zwykle komputery przydzielone użytkownikom są dołączone do domeny i synchronizują GPO oraz hasła przez AD, do czego bez VPN nie mają dostępu.
Tak, wiem, że za pomocą Radius/Azure/SSO itp. można synchronizować hasła z AD i innymi usługami, ale lokalne hasło na komputerze/laptopie nadal wymaga połączenia z AD.
Oczywiście to działa bez tego, a większość firm nie zmienia GPO zbyt często (tak mi się wydaje?), ale generalnie regularne sprawdzanie jest dobrą praktyką.
Organizacja może zdecydować się na ograniczenie dostępu do usług online (np. Chmura plików) dla określonej grupy użytkowników.
Organizacja może także mieć odszyfrowywanie HTTPS i politykę monitorowania ruchu w czasie obowiązywania umowy o pracę.
Dwa przykłady, które przychodzą mi na myśl.
Nasze środowiska AWS, GCP i Azure są odseparowane zaporami sieciowymi i akceptują dostęp tylko przez VPN. Bardzo restrykcyjne kontrole na zasobach mogących mieć publiczny IP.
Głównym powodem, dla którego widzisz nadal korporacyjne VPNy, jest fakt, że większość firm nie jest w 100% w chmurze.
Możesz ograniczyć dostęp do zasobów chmurowych do określonego zakresu IP za pomocą VPN. Jest to znacznie bezpieczniejsze.
To zależy od Twojego środowiska i wymagań dotyczących warstw bezpieczeństwa w związku z rodzajem przetwarzanych informacji. Ale nie zapominaj, że nawet z MFA, 2FA i federacyjnym dostępem, pracownicy będą próbować wprowadzać dane firmy oraz “pracować” na prywatnym sprzęcie, nie rejestrując go w MDM. VPN to kolejna warstwa ochrony, która zapobiega takim działaniom i służy jako przypomnienie o konieczności używania zatwierdzonego sprzętu. Znam osoby, które tworzą oprogramowanie do obejścia kontroli zgodności VPN i instalują je na prywatnych maszynach, a potem publikują na GitHub. Widzę też takich, którzy odmawiają korzystania z firmowego sprzętu, bo jest “za wolny”, podczas gdy mają sprzęt za ponad 2600 dolarów, który przewyższa wydajnością ich własny laptop. Wolny komputer, mój tyłek 
.
Przynajmniej dla tych, którzy podróżują, pracują na wspólnych lub innych ryzykownych sieciach (mieszkania, kawiarnie, lotniska, sieci komórkowe). Nie ma znaczenia, czy Twoja transmisja korzysta z TLS1.2+ czy nie, kiedy podłączona sieć może aktywnie przeprowadzać ataki MITM. Obstawiam, że nie wszystkie aplikacje korzystają z protokołów odpornych na MITM, takich jak QUIC, TLS1.3 itd. Jeśli VPN działa jako bariera dla zasobów, nie musisz ufać wszystkim bastionom i SSO do pełnego eksponowania się w Internecie (z wyjątkiem typowych blokad krajów…), tym lepiej. To warstwa dodatkowa.
Twój VPN nie musi zapewniać pełnego dostępu do domen czy innych rzeczy. RBAC to coś, co masz, i połączone z prawidłowym systemem tożsamości, możesz ograniczyć dostęp tylko do tego, co jest potrzebne. Jeśli VPN jest ustawione na pełny dostęp do wszystkiego, to nie jest właściwa droga.
Ale oczywiście, mogę się mylić.
Uważam, że VPN służy głównie do korzystania z usług wewnętrznych. To, co jest hostowane w firmowym centrum danych lub na własnej infrastrukturze, wymaga VPN. Nie rozumiem, dlaczego mielibyśmy używać VPN do dostępu do Gmaila…