У меня вопрос по безопасности, пожалуйста, посмотрите, может ли VPN предложить больше безопасности, чем только SSL, в общедоступном Интернете.
12165] Сервер Hyper-V 2012 R2 находится в настройке центра обработки данных для использования сертификата для шифрования SSL (из запущенной и работающей PKI Windows 2012 R2).
Этот сервер находится за брандмауэром, который порт NAT 443 с общедоступного IP-адреса в частную локальную сеть.
Ряд офисов и несколько серверов Hyper-V 2012 R2 подключаются к серверу Hyper-V центра обработки данных, на каждом офисном сервере Hyper-V установлен сертификат.
Если мы заблокируем брандмауэр для приема запросов только с IP-адресов клиентских офисов, есть ли какие-либо проблемы безопасности, о которых следует беспокоиться?
Может ли Hyper-V работать без поддержки расшифровывающий SSL-прокси (например, обратный прокси-сервер fortigate или nginx, который находится между двумя серверами Hyper-V), который расшифровывает, проверяет, а затем повторно шифрует трафик?
Я вижу, что клиент пытается поговорить с целью реплики на TCP / 135. Единственная проблема, которую я вижу, блокируя, это то, что во время настройки синхронизации невозможно получить сертификат реплики - используется ли tcp / 135 для чего-либо еще, кроме начальной настройки?
Репликация по HTTP (не-SSL) должна использоваться только в доверенных сетях, например, LAN, VPN и т.д., где вас не волнуют атаки типа "man-in-the-middle". После перехода в ненадежные сети, например, в Интернет, следует использовать SSL.
Это не так уж и сложно настроить. Если вы беспокоитесь о затратах, то настройте свою собственную ИПК.