Один из моих профессоров философии задал вопрос: «Где припаркована ваша машина?» Я сказал ему, где я его припарковал. Затем он спросил меня, откуда я узнал, что он остался там, где я его оставил. «Возможно ли, - спросил он, - что группа шутников подняла его и перевезла в другое место?» Я проделал ту розыгрыш, поэтому знал, что это возможно. Затем он спросил: «Что, если одна группа шутников переместит вашу машину в другое место, а затем другая группа шутников вернется на то место, где вы ее случайно оставили? Я бы знал?» Упражнение g
Один из моих профессоров философии задал вопрос: «Где припаркована ваша машина?» Я сказал ему, где я его припарковал. Затем он спросил меня, откуда я узнал, что он остался там, где я его оставил. «Возможно ли, - спросил он, - что группа шутников подняла его и перевезла в другое место?» Я разыграл эту шутку, поэтому знал, что это возможно. Затем он спросил: «Что, если одна группа шутников переместит вашу машину в другое место, а затем другая группа шутников вернется на то место, где вы ее случайно оставили? Я бы знал?» Это упражнение касается самой сути сетевой безопасности. Какие у вас есть гарантии, что то, что вы ожидаете, действительно происходит? Одна из постоянных проблем с глобальными сетями - насколько безопасность достаточно безопасна? Как только данные покидают вашу сеть, вы понятия не имеете, что с ними происходит. Если он остается незашифрованным, вы не знаете, подслушивал ли его кто-нибудь.
Если вы поговорите с людьми, предоставляющими услуги WAN на операторе, их определение VPN будет наложенной сетью, которая переносится другой сетью через общую инфраструктуру. По определению оператора телефонный звонок через PSTN - это VPN. Определение оператора связи сильно отличается от другого определения VPN как аутентифицированного и зашифрованного туннеля уровня 3 между двумя узлами, при этом один узел является сетью. Первое определение предполагает, что сотрудники перевозчиков заслуживают доверия. Последнее определение не волнует, есть они или нет.
Пример с телефоном может показаться глупым, но он подходит. Однако операторы связи все время говорят о Frame Relay или MPLS VPN, и если вы думаете, что они безопасны, вы ошибаетесь. Под безопасностью они подразумевают то, что сотрудники не собираются отслеживать трафик, что трафик отделяется от другого трафика с использованием хорошо известных технологий второго и третьего уровней, и что у оператора связи есть набор процессов, гарантирующих, что несанкционированные данные или манипуляции с сервисом не будут иметь места. Я не говорю, что операторы связи не заслуживают доверия и что за вашей незашифрованной Frame Relay или MPLS VPN будут следить. Я говорю, что у вас нет уверенности в том, что он никем не отслеживался, следовательно, возникает необходимость в шифровании трафика до того, как он попадет в глобальную сеть.
Это должна быть стандартная рабочая процедура, но я все еще слышу от ИТ-администраторов из разных вертикалей и компаний разного размера, которые передают потенциально конфиденциальные данные в незашифрованном виде через определение VPN, данное оператором. Такие требования, как PCI и HIPAA, помогли осознать потребность в сетевом шифровании, но с точки зрения ИТ-администратора, они доверяют оператору защиты своих битов. Я думаю, что люди, которые работают в сети оператора связи и в ней, вероятно, заслуживают доверия и не склонны совершать преступления при возможности против уязвимых, но у меня нет уверенности в том, что это так. Хуже того, как я узнаю, что кто-то следит за моим трафиком?
Стоимость шифрования данных, будь то VPN уровня 3 или шифрование уровня 2, в настоящее время невысока по сравнению с другими покупками ИТ. Производительность шифрования достигла точки, когда сетевое шифрование не является узким местом или помехой для сетевых операций, при условии, что шифрование является последним процессом перед поступлением пакета в глобальную сеть и первым процессом, когда пакет приходит из глобальной сети. Фактически, даже информация заголовка IP, такая как маркировка QoS, может быть передана из зашифрованного пакета во внешний пакет, чтобы можно было принудительно применить формирование на основе оператора связи. Независимо от того, управляете ли вы своим собственным шифрованием VPN или передаете его поставщику услуг, нет причин не шифровать данные, независимо от того, передаются ли они через Интернет или через службу VPN вашего оператора.