Security

客戶希望通過他們的 VPN 路由我的所有網際網路流量,但為什麼呢?

  • November 17, 2017

我目前正在與醫療保健行業的客戶合作。部分工作將涉及接觸敏感的患者健康資訊 (PHI)。客戶使用 AWS 並將其敏感數據保存在虛擬私有云中。

我需要連接到 VPN 伺服器才能訪問他們的 AWS 服務。他們使用 OpenVPN 客戶端。

但是他們配置了 VPN,因此當我連接到它時,我的所有網際網路流量都通過 VPN 伺服器進行隧道傳輸,而不僅僅是綁定到​​他們的網路資源的流量。這會將我的網際網路連接速度降低到大約 1.5 Mbps,這並不理想。

我向他們提出了這個問題,他們說“安全規則阻止除了 VPN 端點之外的任何 IP 地址的任何人獲取有關我們實例的任何資訊。”。但除非我遺漏了什麼,否則這並不能真正回答我的問題。

他們以這種方式設置 VPN 是否有任何真正的安全優勢?

連接到 VPN 時(基本上)有兩種模式:

  • 全隧道:所有流量都通過 VPN 隧道;這是您的客戶使用的設置
  • 拆分隧道:只有發往遠端網路的流量通過 VPN,其他流量(網際網路)不通過

拆分隧道涉及兩個風險:

1 - 您的網際網路連接可能會受到威脅,攻擊者可以通過您的機器訪問遠端網路。您的連接可能是安全的,也可能不是。客戶無法控制您的網際網路連接的安全性,因此當您連接到他們的網路時,他們會確保您無法訪問網際網路,除了他們控制的連接。

2 - 正如 Ron Maupin 在評論中所解釋的,遠端網路內的使用者可以繞過內部安全,通過您的 VPN 連接訪問 Internet。他們可能會使用它來瀏覽危險網站或導出敏感數據。

附帶說明一下,某些 VPN 客戶端還會在您的電腦上執行自定義檢查,通常是在授予對公司資源的訪問權限之前查看是否有防病毒軟體以及是否是最新的。

引用自:https://serverfault.com/questions/883879