皆さん、長い話を短くすると、あるベンダーには私たちのネットワーク内にユーザーがいて、そのユーザーは彼らのネットワーク上の公開アクセス可能なCitrix環境にアクセスしていますが、その状態はひどく破損しています。そのため、彼らは私たちにMeraki VPN集中装置を送付し、それをファイアウォールの背後に設置し、必要なトラフィックをルーティングすることを希望しています。
この操作はこれまでやったことがなく、見た目はかなりシンプルに見えますが、私たちのビジネス(医療)の性質上、極めて厳格に制御したいと考えています。これについて懸念すべき点はありますか?
私は彼らに壊したものを修正するように強く言いたいのですが、一時は動作していたものですから、今のところそううまくいきません。
追記:**集中器ではなく、集中装置です。タイポです。
個人的には、信頼できる側のファイアウォールでトンネルを終了させるのは好きではありません。
VPN集中器をファイアウォールの外側に置くことをお勧めします。
内側に置くと、IPS/IDSやDLPなど、通常ファイアウォールで行う制御が、ACLや脅威検出エンジンを通過しながらIPsecカプセル化されているため、その検査を行えなくなります。
通信しているシステムが電子健康情報にアクセス・保存・伝送している場合、それらを適切に検査・記録しないと、規制要件やコンプライアンスの問題に直面する可能性があります。
HIPAAの技術的セーフガードについて調べ、その必要条件と対応可能な部分を理解すべきです。
いずれにせよ、内部には置かない方が良いです。
あなたの場所での予算次第ですが、「ゼロトラスト」なサードパーティアクセスをサポートする企業ソリューション(NetskopeやCyberArk Alero、Securelinkなど)もあります。
従来のVPNは、データ送信や一部管理者向けの用途を除き、ほぼ死に絶えつつあります。
選択肢を検討し、質問があれば遠慮なくどうぞ。私やここにいる誰かがサポートします。