TL: DR Busca referencias altamente autorizadas sobre la seguridad de usar VPN para acceder a los servicios de red corporativa.
Estoy buscando hacer un argumento persuasivo a favor del acceso VPN estrechamente controlado a los servidores internos corporativos. Es decir, los usuarios externos deben primero conectar un cliente al sitio VPN para acceder a los servicios que nos gustaría poner a disposición de los trabajadores "en la carretera".
Actualmente, las conexiones externas se enrutan a través del firewall directamente al servidor (limitado a los puertos de servicio TCP relevantes). La autenticación y la seguridad son responsabilidad del servidor. El firewall puede ser capaz de reconocer ciertos tipos de ataques, por ejemplo, fraggle, syn-flood, etc. Sin embargo, no tiene forma de detectar ataques ocultos, por ejemplo, fuerza bruta lenta, explotación de vulnerabilidades, etc. la adquisición y el soporte que VPN como método de conexión a servicios corporativos internos es inherentemente insecure . Sin embargo, ese argumento ha sido absorbido y creído por la gerencia.
Estoy buscando una referencia autoritativa adecuada para respaldar el argumento de que estos servicios deberían protegerse solo permitiéndose mediante la conexión a través de una conexión VPN. Esto nos permitiría poner más servicios a disposición de los trabajadores remotos. Actualmente solo hay un servicio disponible de esta manera, y sin una garantía de seguridad adecuada, es imposible hacer que otros servicios estén disponibles. La ironía es que la compañía está feliz de usar los servicios en la nube, aunque el costo se convierte en un problema a medida que aumenta el uso.
La referencia sería idealmente una de las siguientes; Un requisito de seguridad del gobierno; o declaraciones / escritos de un experto en tecnología u organización de autoridad de seguridad altamente prominente y ampliamente reconocido.
He buscado, pero como la necesidad y la seguridad agregada de la implementación de VPN correcta es prácticamente ahora un "sentido común", hay una falta de referencia a la autoridad sobre el tema de por qué "mejor con que sin".