webベースの業務システムのサーバをデータセンターに配置し、事業所からはWebブラウザでアクセスしますが、この際、SSLを使用するか、この通信そのものをVPNでカプセル化するべきか、で悩んでいます。
セキュリティの強度などの観点で、この2つにはどんな違いがあるのでしょうか?
教えてください。
有効な回答を教えて頂いた方には厚めにお礼致しますです。
SSL:
全てをSSL対応にするのはハードウェア負荷が高い
安定稼動させる場合専用ハードを検討する必要あり
VPN:
VPNにしてた場合、各クライアント又は、事業所で
VPNルータ・ソフトが必要
VPNの前の部分で暗号化はされていないので
認証や重要部分は、SSL対応にする必要がある。
VPNを使う場合は、SSLも対応も必要
http://www.flets.com/company/ipvpn.html#lineup
一部が社内通信だからといって全く暗号化しないで
通信していないのは問題になる。
従ってVPNを使う場合 VPN + SSLとなる。
VPN以外にも広域イーサーネット等の方法もある
http://www.iij.ad.jp/service/purpose/network/index.html
=================================================
SSLは、通常128bit程度の暗号強度ですが。
VPNも方式によります。 FLETS VPNのようにクローズネット
もあればインターネット VPNもあります。
業務システムの運用上からみると、サーバ側での
SSLのみではセキュリティー対策が出来ませんが
VPN等のネットワークアドレス体系を制御できる場合
より柔軟なセキュリティー対策が出来るので
業務システムとして考えた場合VPN+SSLが妥当と思います。
何れかではなく両方必要と思います。
SSLとVPN は併用可能なので両方使う選択肢もあります。
単にセキュリティ上だけであれば2者にそれほど大きな違いはありません。
・SSLのメリット
特殊な機器・設定等が必要ない
クライアント認証と併用する事でアクセス制限は可能。
事業所からのアクセスのみ許可するのであればIPアドレスでのアクセス制限と併用する必要がある。
・VPN のメリット
特殊な機器・設定等が必要なので、安易に従業員の自宅等からアクセスされる心配は無い。
HTTP 以外のプロトコルも全て扱える
ネットワーク自体をつなぐのでPC1台1台の設定は必要ない
VPN の構築には高度な知識(と場合によっては機材)が必要なのでコストはかかりますね。
保守・管理する能力がなければ業者に依頼する必要があります。
あと、IPSec 前提であればプロトコルが特殊なので、(TCP/IP では無い)データセンターへの通信がファイヤーウォール等で塞がれていないかどうか確認する必要があります。
プロトコル上の強度よりは誰がどのように利用するのかを中心に考えた方が良いと思います。
コメント(0件)