Должны ли внутренние веб-сайты интрасети быть безопасными?
Вопрос в названии.
Должен ли внутренний сайт иметь https безопасность?
Например, у нас есть внутренний сайт, который обрабатывает лицензионные ключи нашего клиента - нужно ли нам, чтобы он был безопасным, поскольку он находится в нашей внутренней сети?
(Веб-сайт защищен с помощью IIS и проверки пользователей Windows)
3 answers
Если содержимое в вашей сети конфиденциально и есть пользователи, у которых нет привилегий, необходимых для просмотра части или всего этого содержимого, то вы захотите использовать SSL в своей интрасети. К счастью, настроить SSL в вашей интрасети несложно, и вы можете использовать самозаверяющий сертификат, так как нет необходимости проверять идентификационные данные вашей компании.
Если у вас есть открытый беспроводной доступ для ваших посетителей в той же сети, и он не обслуживается по протоколу https, то посетителям легко перехватывать сетевой трафик других людей в вашу интрасеть.
Всякий раз, когда вы используете пароли Windows для входа в систему, вы также должны использовать SSL. (Это более важно, если вы разрешите базовую аутентификацию) Это делается для того, чтобы избежать повышения привилегий как для ваших собственных пользователей, так и в качестве многоуровневой стратегии безопасности.