Wie viele Unternehmen heutzutage werden wahrscheinlich auch die Server Ihres Unternehmens in der Cloud gehostet. Während eine cloudbasierte Infrastruktur zahlreiche betriebliche Vorteile bieten kann, kann sie auch zu einer schwächeren Sicherheit führen ... es sei denn, Sie verfügen über ein Tool wie ein VPN für sicheren Fernzugriff.
Die Anzahl der Angriffsvektoren auf ein Cloud-System ist praktisch zu hoch, um sie zu zählen; Passwortlisten werden veröffentlicht, private SSH-Schlüssel werden in GitHub eingecheckt, ehemalige Mitarbeiter verwenden alte Zugangsdaten wieder, Mitarbeiter fallen Spear-Phishing zum Opfer und so weiter. Einer der wichtigsten ersten Schritte, die ein Unternehmen für mehr Sicherheit unternehmen kann, ist, seine Hosts in ein VPN einzubinden oder hinter einem Bastion Host zu platzieren.
Der Vorsprung
Sowohl ein VPN als auch ein Bastion-Host haben ihre Stärken und Schwächen, aber ihr Hauptvorteil besteht darin, den gesamten Zugriff über einen einzigen Punkt zu leiten. Die Nutzung eines einzigen Zugriffspunkts (oder „Edge“), um Zugang zu Ihren Produktionssystemen zu erhalten, ist eine wichtige Sicherheitsmaßnahme, da dadurch potenzielle Einstiegspunkte für Hacker und andere Cyberangriffe begrenzt werden.
Wenn neue Ressourcen innerhalb eines VPN hochgefahren werden, werden sie automatisch mit der richtigen Konfiguration gesichert. Ohne ein VPN reichen ein kompromittiertes Passwort oder ein kompromittierter SSH-Schlüssel aus, um auf Ihre Produktionsressourcen zuzugreifen. Denken Sie daran: Ein System ist nur so sicher wie sein schwächstes Glied, und ein einfacher SSH-Schlüssel oder ein statisches Passwort ist für sich genommen ziemlich schwach.
Kontoverwaltung
Allerdings benötigt Ihr VPN auch ein eigenes Anmeldedatensystem. Es mag verlockend sein, auf eine manuelle Benutzerverwaltung zurückzugreifen, aber am besten binden Sie das VPN an den Mitarbeiterdatenbestand an, um sicherzustellen, dass niemand außerhalb des Unternehmens Zugriff erhält.
Wenn Sie einen neuen Mitarbeiter einarbeiten, hat dieser sofort Zugriff auf die Ressourcen, die er benötigt. Noch wichtiger ist: Wenn Sie einen Mitarbeiter aus dem Unternehmen ausscheiden lassen, verliert er sofort den Zugriff auf Ihre Infrastruktur. Die manuelle Verwaltung des Berechtigungssystems bringt einen menschlichen Faktor ins Spiel, der leider ein langsamer, aufwendiger und fehleranfälliger Prozess ist.
Sicherung der Identität
Eine weitere wichtige VPN-Funktion, die Multi-Faktor-Authentifizierung (MFA), schließt die Lücken, die durch die integrierte Anmeldedatenverwaltung entstehen. Wenn die Verwendung eines zentralen Kontospeichers unerwünschte Nutzer fernhält, sorgt die Multi-Faktor-Authentifizierung dafür, dass diese Nutzer auch wirklich die sind, für die sie sich ausgeben.
Wenn ein Benutzer versucht, sich beim VPN anzumelden, wird eine separate Nachricht an ein zuvor authentifiziertes Gerät gesendet, um den Anmeldeversuch zu bestätigen. Wenn der Benutzer der ist, für den er sich ausgibt, kann er den Anmeldeversuch genehmigen. Dadurch stellt MFA sicher, dass die Person hinter der Tastatur tatsächlich die ist, für die sie sich ausgibt.
Viele Systeme nutzen smartphonebasierte Dienste wie Duo, obwohl Geräte von Drittanbietern wie RSA keys und Yubikeys ebenfalls weit verbreitet sind. Während Passwörter und SSH-Schlüssel leicht kompromittiert werden können, ist es deutlich schwieriger, zusätzlich Zugriff auf das physische Gerät oder Telefon eines Benutzers zu erhalten. Außerdem können diese physischen Geräte nicht per Fernzugriff gestohlen werden, wodurch sich die Angriffsfläche um mehrere Größenordnungen verringert.
Implementierung
Es ist zwar schön, über Best Practices zu sprechen, aber sie umzusetzen, ist eine ganz andere Sache. Wie bei den meisten betrieblichen Abläufen werden Dinge oft erst umgesetzt, wenn der Leidensdruck zu groß wird.
Für viele Unternehmen dauert die Einrichtung eines OpenVPN -Servers, selbst von OpenVPN Access Server, länger, als ihnen lieb ist. Dasselbe gilt für die Einrichtung eines Bastion Hosts – die Komplexität scheint den Aufwand einfach nicht wert zu sein. Es gibt jedoch keinen „Pain Point“ für Sicherheitsmaßnahmen. Ihr System ist entweder sicher oder nicht, und das potenziell schlimmste Szenario wiegt den Ärger, den ein sicheres VPN-System möglicherweise verursacht, ganz sicher auf.
Glücklicherweise hat Foxpass gerade ein kostenloses VPN angekündigt, das all diese Funktionen umfasst und einfach einzurichten ist. Es verwendet Foxpass zur Integration in das Mitarbeiterverzeichnis Ihrer Organisation und integriert Duo für MFA. Starten Sie einfach die AMI, und schon kann es losgehen! Das VPN benötigt keine benutzerdefinierte Software und integriert sich direkt in das integrierte VPN-System Ihres Betriebssystems, wodurch es einfach einzurichten und zu verwenden ist.
Möchten Sie Foxpass selbst erleben? Sehen Sie sich das AMI hier an, erstellen Sie das Image selbst aus unserem Github repo oder klicken Sie hier, um mit einer kostenlosen Testversion zu starten:
