Hier sind verschiedene Ebenen des sicheren Transports zu berücksichtigen:
- VPNs
- SSL-VPN (einschließlich Tunnel)
- IPSec-VPN
- SSL / TLS für einzelne Dienste
IPSec- und SSL-VPNs
Sowohl SSL- als auch IPSec-VPNs sind gute Optionen, beide mit beträchtlicher Sicherheits-Stammbaum, obwohl sie für unterschiedliche Anwendungen geeignet sein können.
IPSec-VPNs arbeiten auf Schicht 3 (Netzwerk) und bieten in einer typischen Bereitstellung vollen Zugriff auf das lokale Netzwerk (obwohl der Zugriff über Firewalls und gesperrt werden kann) Einige VPN-Server unterstützen ACLs. Diese Lösung eignet sich daher besser für Situationen, in denen sich Remoteclients so verhalten sollen, als wären sie lokal mit dem Netzwerk verbunden, und eignet sich besonders für Standort-zu-Standort-VPNs. IPSec-VPNs erfordern in der Regel auch vom Hersteller bereitgestellte spezifische Software, die auf Endbenutzergeräten schwieriger zu warten ist, und beschränken die Verwendung des VPN auf verwaltete Geräte.
SSL-VPNs werden häufig als bevorzugt bezeichnet Wahl für Fernzugriff. Sie arbeiten auf den Ebenen 5 und 6 und gewähren in einer typischen Bereitstellung Zugriff auf bestimmte Dienste basierend auf der Benutzerrolle, von denen die bequemsten browserbasierte Anwendungen sind. In der Regel ist es einfacher, ein SSL-VPN mit einer genaueren Kontrolle über die Zugriffsberechtigungen zu konfigurieren, wodurch in einigen Fällen eine sicherere Umgebung für den Remotezugriff bereitgestellt werden kann. Darüber hinaus wird SSL / TLS von modernen Geräten von Natur aus unterstützt und kann normalerweise ohne spezielle clientseitige Software oder auf andere Weise mit leichtgewichtigen browserbasierten Clients bereitgestellt werden. Diese Lightweight-Clients können häufig auch lokale Überprüfungen durchführen, um sicherzustellen, dass Verbindungscomputer bestimmte Anforderungen erfüllen, bevor ihnen Zugriff gewährt wird - eine Funktion, die mit IPSec viel schwieriger zu erreichen wäre.
In beiden Fällen kann eines so konfiguriert werden, dass ähnliche Ziele wie das andere erreicht werden - SSL-VPNs können verwendet werden, um einfach einen Tunnel mit vollem Netzwerkzugriff zu erstellen, und IPSec-VPNs können für bestimmte Dienste gesperrt werden - dies ist jedoch weitgehend vereinbart dass sie besser für die oben genannten Szenarien geeignet sind.
Aus genau diesen Gründen verwenden viele Organisationen jedoch eine Kombination aus beiden. häufig ein IPSec-VPN für Standort-zu-Standort-Verbindungen und SSL für den Remotezugriff.
Es gibt eine Reihe von Referenzen zum Thema SSL gegenüber IPSec (einige davon stammen direkt von Anbietern):
End-to-End-Verschlüsselung
In einigen der oben genannten Fälle, z. B. bei IPSec-VPNs und SSL-VPN-Tunneln, erhalten Sie möglicherweise keine End-to-End-Verschlüsselung mit dem tatsächlich verwendeten Dienst. Hier bietet sich die Verwendung einer zusätzlichen SSL / TLS-Schicht an.
Angenommen, Sie sind remote und versuchen, über ein IPSec-VPN eine Verbindung zu einer intern gehosteten Webanwendung herzustellen. Wenn Sie das HTTP-Protokoll über Ihren Browser verwenden, wird Ihr Datenverkehr verschlüsselt, während er durch den VPN-Tunnel selbst läuft. Er wird jedoch entschlüsselt, wenn er den Remote-VPN-Endpunkt erreicht, und im Klartext über das interne Netzwerk übertragen. Dies mag in einigen Anwendungsfällen akzeptabel sein, aber im Interesse einer eingehenden Verteidigung möchten wir im Idealfall wissen, dass unsere Daten nirgendwo zwischen Ihnen und dem eigentlichen Dienst selbst abgefangen werden können. Wenn Sie über HTTPS eine Verbindung zu dieser Anwendung herstellen, haben Sie effektiv zwei Sicherheitsebenen: eine zwischen Ihnen und dem VPN-Endpunkt und eine andere, die diese durchläuft (zwischen Ihnen und dem Webserver selbst).
Natürlich ist nicht auf HTTPS beschränkt - Sie sollten auch andere sichere Protokolle wie SSH, FTPS, SMTP mit STARTTLS usw. usw. verwenden.