Comparando VPN de sitio a sitio con DMZ

En cuanto a las mejores prácticas empresariales de TI:

1) Se debe utilizar una DMZ si la aplicación requiere acceso desde la Internet pública. Esto significa que los usuarios pueden no tener credenciales de VPN o cualquier otra forma de acceder a la red privada, y deben estar expuestos a Internet para poder ser utilizados.

2) Los recursos privados deben permanecer en las redes privadas. Si la aplicación solo necesita ser utilizada por un grupo limitado que ya tenga acceso a una red privada, entonces lo mejor es configurar una VPN. Luego, la VPN encapsula el tráfico y asegura que la aplicación / los servidores no puedan ser escaneados en el puerto ni intentados por piratearlos sin antes acceder a la VPN, lo que hace que sea más difícil para un adversario intentar un compromiso.

El motivo de esto es que, si bien una DMZ aísla el servidor en cuestión, abre el servidor DMZ para intentos de pirateo en la Internet pública. Desde aquí, un pirata informático puede robar credenciales, etc., lo que podría permitirles atravesar más allá de la zona desmilitarizada hacia la red corporativa real. Además, muchos DMZ tienen "agujeros" en ellos para cosas como la Autenticación de Active Directory, que dejan abierta área de superficie de ataque adicional si el servidor DMZ está comprometido.

En resumen, los sistemas privados deben permanecer en redes privadas. Por lo tanto, si este sistema solo requiere el acceso de un grupo finito de personas que ya tienen acceso a VPN, entonces la mejor práctica es requerir este tipo de acceso.

En la práctica, rara vez veo que la infraestructura de la empresa lo maneja y, en cambio, lo que sucede es que la empresa se suscribe a la WAN con un proveedor que hará que el acceso entre los sitios sea transparente y garantice absolutamente que el tráfico de las empresas no se mezcle. de cualquier manera que otros clientes de ese proveedor puedan piratear el tráfico.

Si no tiene ese servicio y necesita un rollo propio, o tal vez no confía plenamente en el servicio, una VPN de sitio a sitio cifrada con AES256 generalmente se considera una buena práctica. El enrutador de la red podría tener la capacidad de hacer esto y se consideraría una buena práctica, especialmente si esas características están integradas en el equipo de red de una marca de buena reputación.

Otra opción sería los cortafuegos en cada sitio que establezcan la vpn de sitio a sitio. Si eso es "mejor" que usar las características IPSec en los enrutadores es un gran "depende".

Desde la perspectiva del costo, menos cajas cuesta menos, consume menos energía, produce menos calor y ocupa menos espacio en el rack. Desde la perspectiva de las operaciones de seguridad, más cajas significa más cosas de las que preocuparse por la configuración incorrecta y la introducción de agujeros de seguridad, o menos cajas para asegurarse de que estén parcheadas regularmente, menos cajas significa una superficie de ataque más pequeña.

No estoy seguro de por qué optaría por poner el servidor en la Internet pública en una DMZ si el único acceso proviene de la empresa desde el sitio A o B. Si lo coloca en una DMZ en la Internet pública, sería susceptible a la seguridad errores en su firewall DMZ, errores de configuración (que están ahí desde el primer día o introducidos a través de cambios), etc.

Los DMZ están destinados a ser lugares donde se colocan servidores que deben estar expuestos a la Internet pública y no hay alternativa. Si hay una alternativa, la alternativa siempre será la mejor ruta. No hay nada en la pregunta que justifique tomar este riesgo.