安全なアクセスSMBインターネット上の共有
インターネット経由でCIFS共有を安全に提供することについてのアドバイスを探しています。ファイルサーバーはクラウドサービス(DigitalOceanなど)でホストされます。共有にアクセスする必要があるリモートデバイスは最大100台ですが、各接続で約30MBを超えて転送することはありません。これらのデバイスは毎日接続しますが、必ずしも同時に接続する必要はありません。
リモートデバイスは、4GモバイルアクセスのM2Mルーターを介してインターネットに接続されます。
リモートデバイスから共有へのアクセスを許可する最も効率的で安全な方法は何ですか?私の考えは、サイト間VPNを使用することですか?
最初にこれを投稿したときに言及しなかった問題の1つは、すべてのリモートサイトが同じサブネット(192.168.1.0/24)にあることです。サイト間VPNではなく、リモートユーザーVPNとして構成する方が簡単ですか。
そこで、サイト間VPN(StrongSwan)を設定して、うまく機能するようにしました。私が今持っている問題は、SMBサーバーがDigitalOceanにあること、つまりサーバーにはパブリックIPしかないことです。リモートデバイスのみのIPアドレスを許可することですサーバー(つまりFQDNなし)。現時点では、IPアドレスをDigitalOceanサーバーのIPに設定できます。何らかの理由でそのサーバーを変更する必要がある場合、またはそのIPが変更される場合は、長期的に考えています。 100台のデバイスに移動してファイルサーバーのIP設定を変更することはできません。
これに対する私の最善の選択肢は何ですか? VPNサーバーとファイルサーバーは同じです。
Site-to-site。リモートデバイスがすべて同じ場所にあるか、少なくともいくつかの固定された場所にある場合、サイト間VPNは、すべてのデバイスが独自のVPNを所有することを防ぐために理想的です。 VPNクライアントとその認証。この場合、すべてのデバイスが異なるリモートロケーションにあるようです。クラウドに直接接続することも、オンプレミスネットワーク経由で接続することもできます。
M2M 4Gルーターのすべての内部ネットワークは同じなので、192.168.1.0/24、VPNはすべてのネットワーク間に直接ルートを確立することはできませんが、NATが必要です。クライアント間の接続は必要ありません。各クライアントとサーバー間の接続だけが必要だと思います。
セキュリティ。この配置の目的がデータをオフサイトにすること、またはクラウドが提供できるスケーラビリティーである場合、私はプライベートクラウドネットワーク内でのみ接続を許可するクラウドソリューションを使用します。インターネット。
効率。 VPNを使用しても、通常、ネットワーク使用率にオーバーヘッドは発生しません。まったく逆です。VPNは、元のファイル共有ソリューションで圧縮されていない場合でも、接続を圧縮するように構成できます。とにかく、クラウドソリューションは、1日に数回、100台のデバイスからの30MBの転送を適切に処理できます。また、4G接続では、配信時にそれぞれを処理できます。あなたの要件は比較的低いです。
使いやすさ M2Mルーターには、VPN接続を確立するための組み込み機能がありますか?特にBYODデバイスの場合、これはユーザーにとって最も簡単な方法です。ただし、パスワード認証されたソフトウェアVPNクライアントが提供するセキュリティを犠牲にしてください。