Я взвешивал все «за» и «против» относительно новой критически важной системы, которая благодаря виртуализации приложений позволит моим коллегам из трех разных стран получать к ней доступ.
Вот некоторая справочная информация.
1) Новая критически важная система содержит два сервера. Системный сервер, на котором будет размещена база данных SQL, будет размещен в доверенной зоне. Сервер виртуализации приложений будет размещен в DMZ.
2) В то время как местные коллеги должны иметь возможность доступа к базе данных SQL через прикладную программу, установленную на их ПК, зарубежный коллега будет подключаться к серверу виртуализации приложений DMZ для подключения к системному серверу.
3) Для того чтобы мои зарубежные коллеги могли получить доступ к приложению виртуализации, мне придется назначить публичный IP-адрес серверу виртуализации приложений DMZ, открыв для него только 1 порт.
Вопрос
Хотя открытие только одного порта для этого конкретного публичного IP-адреса кажется достаточно ограничительным, мне интересно, можно ли защитить потоковую передачу виртуализированного приложения какой-либо формой шифрования, подобно тому, как работает любая VPN?
Причина, по которой я спрашиваю об этом, заключается в том, что сервер виртуализации приложений использует приложение, о котором я никогда не слышал, и никто не может найти его в Google.
Почему виртуализация приложений в Интернете/WAN является отраслевым стандартом?
решение1
Связь через Интернет может быть зашифрована, а может и нет. Все зависит от используемого протокола. Даже если она зашифрована, если только это не широко используемый, тщательно изученный протокол, который поддерживается и адаптируется в соответствии с новыми криптографическими открытиями, есть большая вероятность, что она ужасно, ужасно сломана и небезопасна.
Отраслевой стандарт виртуализации приложений через Интернет заключается в размещении стандартного, хорошо обслуживаемого VPN-сервера спереди, включении двухфакторной аутентификации в VPN, а затемтакжезаблокируйте соединение между VPN-сервером и платформой виртуализации приложений, поскольку конечные точки постоянно подвергаются взлому.
Если ваша заявка может быть привлекательной какспецифическийtarget, то вам нужно проделать еще больше работы, например, внедрить надежную и крайне ограничительную систему DLP (предотвращение потери данных), обнаружение аномалий и ограничения на уровне контента для данных и сети, чтобы свести к минимуму ущерб, который возникнет, когда кто-то неизбежно вскроет вашу систему, как виноград, и выдавит из нее сочные данные.