En una situación en la que tiene una red inalámbrica aprovisionada como no confiable detrás de un firewall, utilice VPN para llegar al Centro de datos de confianza. ¿Alguien tiene alguna razón por la que esto deba o no expandirse para incluir los puertos de borde cableado? Básicamente, lleva el firewall alrededor del centro de datos y hace que la LAN no sea de confianza. Salvaría la implementación de 802.1x y permitiría compartir la red con otros socios.
Todo depende de su modelo de seguridad, pero como Google descubrió recientemente , incluso si posee el enlace entre sus servidores, aún no puede asumir que es seguro.
La idea de endurecer el borde de su red con la protección adecuada y luego jugar "todo vale" con los elementos internos es una táctica popular, pero que tiene implicaciones de seguridad significativas y desastrosas. Una vez que su perímetro está dañado, no tiene protección. Y una compañía tras otra ha descubierto que una violación del perímetro no es tan imposible como sugiere el diagrama de planificación de su red.
Idealmente, debería tener cifrado y seguridad de host a host, con cada nodo una isla asegurada individualmente. Hacer esto correctamente puede abarcar desde "costoso y complicado" a "loco-costoso y alucinante-complicado", pero si diseña su sistema correctamente, debería poder de manera segura exponer todo su interno Red a la Internet pública. Por supuesto, nunca en realidad haría eso, pero debería ser capaz de . Eso es defensa en profundidad .
¿Por qué no? Debido a que es posible que desee tener el control sobre la LAN como una preocupación independiente del Centro de datos. De lo contrario, como no sé lo que tiene en la LAN y qué clasificación tienen esos activos, cualquier LAN podría clasificarse como 'pública'.
Se trata de clasificar sus activos y colocar las protecciones adecuadas para esos activos. "Clasificación" es el problema subyacente a su pregunta original. Si no te importa el WIFI o la LAN, reduce las protecciones en esas áreas y deja que sea libre para todos. Sin embargo, no es necesario autenticarse, validar el tráfico, etc. Una vez que comience a preocuparse, asegúrese de que le importa lo suficiente.
Clasifique los activos, los usuarios y los datos. Regla de oro: la clasificación más débil (por ejemplo, 'pública') persiste incluso con aquellos elementos a los que se conectan. Diseño de separación de elementos desde esa perspectiva.
Entonces, si todo lo que estás clasificando es el Centro de Datos, como resultado, automáticamente estás clasificando el resto como 'público'. Si eso se ajusta a tu situación, está bien. Si no, tienes que emplear un poco más de diseño.
Lea otras preguntas en las etiquetas vpn datacenter