> Если коротко, то да. Когда циски и цитриксы своё добро клепали, никто
> толком не знал как оно вообще должно быть, и куда всё
> движется. Сделали то, что нужно было рынку сегодня. А дальше как
> и с любым продуктом — любое развитие возможно только если не
> шатать всё текущим клиентам. Но и эти постепенно их клиенты придут
> к тому, что ВПН это одно, а комплаенс — другое и не
> надо их смешивать.Ну вот в жизни вышло строго наоборот. Вот прям на 180. К защищенной сети подключаются с устройств разных вендоров и сваливать все задачи на групповые политики от MS - как-то даже и смешно, да? А проверку соответствия требованиям - делать надо. И вот MS о каком-то "хренберри" может знать примерно "ничего", а производитель VPN-клиента для "хренберри" - определенно что-то да знает.
Опять же милые проблемы - чтобы получить данные этих самых групповых политик, описывающих требования к настройке надо - внезапно - подключиться до этого самого DC (Причем сильно не по одному порту\протоколу - тут тебе и лдапс, и керберос, и днс, и даже цифс - и все это потенциально ненадежному участнику коммуникации, ага). Тут конечно можно скрафтить какой RODC в DMZ к которому цепляемся через AO\SBL vpn (И так, в общем-то делают) - но то такоЭ, проще держать эти compliance policy на собственно VPN-сервере к которому ты один хрен, должен подключиться (или не подключаться - если не соответствуешь).
Ergo?
>[оверквотинг удален]
> Так не накренили же ведь. Потыкались в случайное ненужно и ушли не
> солоно хлебавши. И таки ты прав, SMB до лампочки что там
> в Окте произошло. Мне один бывший клиент отфорвардил то, что ему
> Окта прислала, я провёл все необходимые манипуляции, на следующий день счёт
> уже был оплачен. Вот и вся драма. Мой знакомый на зарплате
> у «большого энтерпрайза» сказал, что их этот инцидент аж на четыре
> дня затормозил, но у них и аккаунты тысячами исчисляются. Неприятно, конечно
> и убытки прямые (четыре дня люди с фонариками бегают и плесневелые
> токены ищут!), на то и щука в реке, чтобы карась не
> дремал. Заодно инвентаризацию провели, говорит.
Ну да - два уровня безопасности - "high" и "нехай..." - тут и VPN-то по большому счету хрен пойми зачем.