私は、アプリケーション仮想化を通じて 3 か国の同僚がアクセスできるようになる新しいミッション クリティカル システムについて、長所と短所を検討していました。
ここに背景情報があります。
1) 新しいミッション クリティカル システムには 2 台のサーバーが含まれます。SQL データベースをホストするシステム サーバーは信頼ゾーンに配置されます。アプリケーション仮想化サーバーは DMZ に配置されます。
2) 現地の同僚は自分のコンピュータ PC にインストールされたアプリケーション プログラムを通じて SQL データベースにアクセスできますが、海外の同僚はシステム サーバーに接続するために DMZ アプリケーション仮想化サーバーに接続します。
3) 海外の同僚が仮想化アプリケーションにアクセスできるようにするには、DMZ アプリケーション仮想化サーバーにパブリック IP アドレスを割り当て、ポートを 1 つだけ開く必要があります。
質問
この特定のパブリック IP アドレスに対して 1 つのポートのみを開くことは十分に制限的であるように思われますが、仮想化アプリケーションのストリーミングが、VPN の動作と同様に、何らかの形式の暗号化によって保護されるかどうか疑問に思っています。
私がこのように質問する理由は、アプリケーション仮想化サーバーが、私が聞いたことのない、誰も Google で検索できないアプリケーションを使用しているからです。
インターネット/WAN を介したアプリケーション仮想化が業界標準となっているのはなぜですか?
答え1
インターネット上の通信は暗号化されている場合も、されていない場合もあります。すべては、使用するプロトコルによって決まります。たとえ暗号化されていたとしても、広く使用され、厳重に検査され、新しい暗号の発見に従って維持および適応されているプロトコルでない限り、ひどく壊れていて安全でない可能性が高くなります。
インターネット上でのアプリケーション仮想化の業界標準は、標準的でよく管理されたVPNサーバーを前面に配置し、VPNで2要素認証を有効にし、またエンドポイントは常に侵入されるため、VPN サーバーとアプリケーション仮想化プラットフォーム間の接続をファイアウォールで保護する必要があります。
あなたのアプリケーションが魅力的であれば、特定のターゲットを設定する場合は、強力で制限の厳しい DLP (データ損失防止)、異常検出、データとネットワークのコンテンツ レベルの制限を実装するなど、さらに多くの作業を行う必要があります。そうすることで、誰かがシステムをブドウのように開けて、その中の貴重なデータを絞り出すことで生じる損害を最小限に抑えることができます。