Работает ли крупное корпоративное веб-приложение поверх SSL в локальной сети? - PullRequest
2 голосов
/ 22 сентября 2010

В крупных компаниях общепринятым является использование SSL (например, https) для запуска корпоративных приложений через локальную сеть.Я имею в виду ERP-системы, SFA-системы, HR-системы и т. Д. Но я также думаю о SOA ... провайдерах и потребителях веб-услуг.

Другими словами, есть ли опасения, что что-то в локальной сетиможет быть нюхает информацию в виде открытого текста?Если не SSL, как бороться с этой угрозой безопасности?

Какой у вас опыт?

Ответы [ 7 ]

2 голосов
/ 22 сентября 2010

В крупных компаниях общепринятым является использование SSL (например, https) для запуска корпоративных приложений через локальную сеть.

Обычно использование SSL только для внутренних приложений для внутренних сетей не является обычной практикой.,Исторически локальная сеть рассматривалась как «доверенная» сеть, поэтому SSL для приложений локальной сети не являлся приоритетом.

Кроме того, подключение к внутренним серверам приложений обычно осуществляется через аутентифицированный прокси, который сам по себе снижаетнекоторые риски.

Это медленно, однако меняется, поскольку организации (как правило) все чаще относятся к локальной сети с меньшим доверием.

Если не SSL, то как противостоит этой угрозе безопасностиwith?

Большинство предприятий отслеживают, что подключено к их локальной сети, и записывают события при добавлении новых устройств.

Если устройство не соответствует чему-то запланированному (например, новый рабочий стол или принтер) - тогда оно расследуется.

Несанкционированные устройства воспринимаются как гораздо больший риск (чем не использование SSL) потому что они представляют дополнительные угрозы, такие как внедрение вируса, подключение к внешней сети или какой-либо другой вид атаки.

2 голосов
/ 22 сентября 2010

Это действительно зависит от того, что вы считаете "большой компанией".В компании, в которой я работаю, работает более 50 000 человек;таким образом, наша корпоративная сеть на самом деле не намного более надежна, чем Интернет.

Мы используем SSL в корпоративных веб-приложениях интрасети.У нас есть собственный внутренний сертификат CA, установленный на всех корпоративных ПК, поэтому мы можем выдавать наши собственные внутренние SSL-сертификаты собственными силами.

1 голос
/ 22 сентября 2010

В крупных компаниях общепринятым является использование SSL (например, https) для запуска корпоративных приложений через локальную сеть. Я имею в виду ERP-системы, SFA-системы, HR-системы и т. Д. Но я также думаю о SOA ... поставщиках и потребителях веб-услуг.

Мне было бы очень неудобно, если бы такие приложения не были защищены. Во многих местах, где я работал, они были. В некоторых других они не были, и я считаю это непрофессиональным.

Другими словами, есть ли опасения, что что-то в локальной сети может прослушивать информацию в виде открытого текста?

Для меня ответ, очевидно, ДА.

Если не SSL, как бороться с этой угрозой безопасности?

Одноразовый пароль (с RSA SecureID ).

1 голос
/ 22 сентября 2010

Да, довольно стандартная практика во многих местах, которые я видел.

Я думаю, причины этого должны быть очевидны:

  • Дополнительная защита от обычных атак
  • Почти нет причин, чтобы не
1 голос
/ 22 сентября 2010

То, что сделано и что должно быть сделано, не обязательно совпадает здесь ...

Без сомнения, любая система с конфиденциальной информацией должна быть защищена, особенно в локальной сети, так как именно здесь происходит большинство атак - недовольствосотрудники и т. д.

к сожалению, это часто не так.

1 голос
/ 22 сентября 2010

К сожалению, нет, это не стандартная практика.

0 голосов
/ 22 сентября 2010

Интересно, одна из проблем заключается в том, что переход на SSL всегда кажется немного более сложным, чем должен быть.Если бы можно было включить SSL с одним коммутатором, не беспокоясь о сертификатах, возможно, по крайней мере часть шифрования могла бы стать по умолчанию.

Очевидно, что вы не получите аутентификацию конечной точки без дополнительного шага настройки сертификатов, нотогда, по крайней мере, не было бы никакой причины обходиться без шифрования.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...