157 messaggi dal 08 marzo 2012
Ciao a tutti,

stiamo sviluppando una serie di servizi su Asp.NET che saranno deployati su Azure in un app services utilizzando quindi i certificati SSL già disponibili dall'infrastruttura e che, per quanto ne so, sono molto validi e sicuri.
Un cliente insiste però che questa soluzione per lui non è considerabile sicura, anche se viaggia su HTTPS previa autenticazione.
L'autenticazione basata su username/password rilascia dei token autorizzativi che scadono dopo 10 minuti.

Questo cliente insiste che l'unica soluzione per loro accettabile è comunicare su una VPN.

Ora vorrei capire bene se queste questioni hanno ragion d'essere o meno, dato che non mi permetterebbero di utilizzare App Service ma probabilmente dovrei passare ad una soluzione basata su una virtual machine....sbaglio?
E' reale che solo la VPN rende la comunicazione sicura? A me basta pensare agli home banking che gestiscono info delicatissime e non usano la VPN (per ovvie ragioni).

Inoltre questi servizi sono condivisi da più clienti, e questo è l'unico che ci richiede la VPN ma penso impatterebbe su tutti. E se un domani anche un altro dovesse chiedermi una VPN come potrei fare?

Grazie mille!
203 messaggi dal 22 gennaio 2017
Contributi
Ciao, in un app service puoi aggiungere tranquillamente una VPN.
Per quanto riguarda la sicurezza, non mi sembra che con una VPN si aumenti la sicurezza.

https://docs.microsoft.com/it-it/azure/app-service/web-sites-integrate-with-vnet
10.812 messaggi dal 09 febbraio 2002
Contributi
Ciao,


Questo cliente insiste che l'unica soluzione per loro accettabile è comunicare su una VPN.
Ora vorrei capire bene se queste questioni hanno ragion d'essere o meno,

Devi parlarci bene e stimolarlo a spiegare quali sono i motivi che lo portano a credere questo.
E' possibile che il cliente sia preoccupato delle vulnerabilità che hanno riguardato SSL 3.0 e TLS 1.0, come Poodle e Heartbleed e quindi crede che usare una VPN sia l'unico modo sicuro di stabilire un collegamento.
In realtà, su Azure, SSL 3.0 è disabilitato per default e puoi anche disabilitare TLS 1.0. Leggi qui.
https://docs.microsoft.com/en-us/azure/app-service/environment/app-service-app-service-environment-custom-settings

Restando con TLS 1.1 e TLS 1.2, la comunicazione è sicura, almeno ad oggi.

Invece, se preferiscono VPN per l'autenticazione con pre-shared key, valuta se supportare autenticazione con certificato client nella tua applicazione web.

Parla di questi temi con il cliente e cerca di capire se può essere convinto. Attenzione perché alcuni clienti hanno delle opinioni assolute e sostanzialmente vogliono credere solo in quello in cui vogliono credere. Tu sonda la situazione e cerca di convincerlo col dialogo. Se è impossibile, lascia perdere e fai come vuole lui per impedire di rovinare il rapporto.

Non ho ben capito se ti sta chiedendo ti collegarti al loro concentratore o se saranno loro a collegarsi alla tua VPN.

ciao,
Moreno
Modificato da BrightSoul il 14 aprile 2018 23.20 -

Enjoy learning and just keep making
157 messaggi dal 08 marzo 2012
BrightSoul ha scritto:
Ciao,


Questo cliente insiste che l'unica soluzione per loro accettabile è comunicare su una VPN.
Ora vorrei capire bene se queste questioni hanno ragion d'essere o meno,

Devi parlarci bene e stimolarlo a spiegare quali sono i motivi che lo portano a credere questo.
E' possibile che il cliente sia preoccupato delle vulnerabilità che hanno riguardato SSL 3.0 e TLS 1.0, come Poodle e Heartbleed e quindi crede che usare una VPN sia l'unico modo sicuro di stabilire un collegamento.
In realtà, su Azure, SSL 3.0 è disabilitato per default e puoi anche disabilitare TLS 1.0. Leggi qui.
https://docs.microsoft.com/en-us/azure/app-service/environment/app-service-app-service-environment-custom-settings

Restando con TLS 1.1 e TLS 1.2, la comunicazione è sicura, almeno ad oggi.

Invece, se preferiscono VPN per l'autenticazione con pre-shared key, valuta se supportare autenticazione con certificato client nella tua applicazione web.

Parla di questi temi con il cliente e cerca di capire se può essere convinto. Attenzione perché alcuni clienti hanno delle opinioni assolute e sostanzialmente vogliono credere solo in quello in cui vogliono credere. Tu sonda la situazione e cerca di convincerlo col dialogo. Se è impossibile, lascia perdere e fai come vuole lui per impedire di rovinare il rapporto.

Non ho ben capito se ti sta chiedendo ti collegarti al loro concentratore o se saranno loro a collegarsi alla tua VPN.

ciao,
Moreno
Modificato da BrightSoul il 14 aprile 2018 23.20 -
10.812 messaggi dal 09 febbraio 2002
Contributi
Ciao evil80, nell'ultimo post non si vede la tua risposta

Enjoy learning and just keep making
157 messaggi dal 08 marzo 2012
BrightSoul ha scritto:
Ciao evil80, nell'ultimo post non si vede la tua risposta


Ops, non so cosa sia successo.
In pratica vorrei capire se effettivamente la VPN è qualcosa di più sicuro, ma mi sembra di capire di no dalla tua risposta.

Ecco le mie domande:
- cos'è la l'autenticazione con pre-shared key e che vantaggi porterebbe?
- posso attivare più VPN su una app service oppure crearne una implica che la web app diventi accessibile solo e soltanto tramite VPN?
- se attivo una VPN potrò scegliere anche di continuare a raggiungerla tramite HTTPS?

Grazie come sempre!
10.812 messaggi dal 09 febbraio 2002
Contributi
Ciao,


In pratica vorrei capire se effettivamente la VPN è qualcosa di più sicuro, ma mi sembra di capire di no dalla tua risposta.

E' ugualmente sicura come HTTPS con TSL >= 1.1 ma la VPN viene usata per altri scopi, cioè connettere in sicurezza due reti locali geograficamente separate. Non vale la pena usarla per consumare un servizio web.

Comunque, non ho capito se sarà il cliente e collegarsi alla tua VPN o viceversa.


cos'è la l'autenticazione con pre-shared key e che vantaggi porterebbe?

E' solo una delle modalità per stabilire un canale sicuro: client e concentratore conoscono entrambi una chiave segreta che non viene scambiata sulla rete all'atto della connessione. Nella mente del cliente questo potrebbe apparire come "più sicuro". Per questo dicevo che dovresti parlarci per scoprire come mai è intenzionato ad usare una VPN. Non ti arrendere senza provare.


- se attivo una VPN potrò scegliere anche di continuare a raggiungerla tramite HTTPS?

Sì, penso che sia possibile supportare entrambi gli scenari: gli utenti internet chiameranno il tuo servizio dall'IP pubblico, mentre i client VPN lo raggiungeranno dall'IP di rete locale. Comunque, io non l'ho mai fatto quindi non ti posso dare consigli. Non so neanche se sia supportato con App Service. Devi provare.

Leggi qui se vuoi creare una tua VPN. Supporta 128 client connessi.
https://docs.microsoft.com/en-us/azure/vpn-gateway/point-to-site-about

ciao,
Moreno

Enjoy learning and just keep making
157 messaggi dal 08 marzo 2012
BrightSoul ha scritto:


Comunque, non ho capito se sarà il cliente e collegarsi alla tua VPN o viceversa.


Sarà lui a doversi connettere alla mia VPN, in quanto sono io che espongo i servizi da richiamare.


E' solo una delle modalità per stabilire un canale sicuro: client e concentratore conoscono entrambi una chiave segreta che non viene scambiata sulla rete all'atto della connessione. Nella mente del cliente questo potrebbe apparire come "più sicuro". Per questo dicevo che dovresti parlarci per scoprire come mai è intenzionato ad usare una VPN. Non ti arrendere senza provare.


Di fatto sarebbe simile alla trasmissione di un certificato client durante la chiamata per assicurarsi dell'identità dello stesso?

Grazie come sempre!

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.