webベースの業務システムのサーバをデータセンターに配置し、事業所からはWebブラウザでアクセスしますが、この際、SSLを使用するか、この通信そのものをVPNでカプセル化するべきか、で悩んでいます。
セキュリティの強度などの観点で、この2つにはどんな違いがあるのでしょうか?
教えてください。
有効な回答を教えて頂いた方には厚めにお礼致しますです。
SSL:
全てをSSL対応にするのはハードウェア負荷が高い
安定稼動させる場合専用ハードを検討する必要あり
VPN:
VPNにしてた場合、各クライアント又は、事業所で
VPNルータ・ソフトが必要
VPNの前の部分で暗号化はされていないので
認証や重要部分は、SSL対応にする必要がある。
VPNを使う場合は、SSLも対応も必要
http://www.flets.com/company/ipvpn.html#lineup
一部が社内通信だからといって全く暗号化しないで
通信していないのは問題になる。
従ってVPNを使う場合 VPN + SSLとなる。
VPN以外にも広域イーサーネット等の方法もある
http://www.iij.ad.jp/service/purpose/network/index.html
=================================================
SSLは、通常128bit程度の暗号強度ですが。
VPNも方式によります。 FLETS VPNのようにクローズネット
もあればインターネット VPNもあります。
業務システムの運用上からみると、サーバ側での
SSLのみではセキュリティー対策が出来ませんが
VPN等のネットワークアドレス体系を制御できる場合
より柔軟なセキュリティー対策が出来るので
業務システムとして考えた場合VPN+SSLが妥当と思います。
何れかではなく両方必要と思います。