網路與伺服器安全對任何企業的穩健運作都至關重要,而管理 Secure Shell(SSH)金鑰與伺服器存取權限,是組織提升安全性的首要關鍵步驟之一。在 Foxpass,我們透過可將目錄連接到雲端基礎架構的網路身分服務,協助集中管理伺服器存取(以及更多功能)。
如同任何基礎架構建置一樣,使用像 Foxpass 這類雲端身分識別服務的決策,同時會帶來優點與缺點。
當網路身分服務運作良好時,就能簡化存取控制,同時提升使用便利性與安全性。目錄可作為單一可信來源,消除驗證機制中的任何缺口。
然而,停機時間可能是這類解決方案最大的缺點。當目錄服務停擺時,所有與其整合的系統存取也會一併中斷。在這種情況下,單一真實來源反而會成為一種風險,因為系統必須在兩者之間做出取捨:維持系統安全並等待服務恢復,或是為了讓系統可用而切換到較不安全的驗證方式。
幸好,您可以透過一些方法降低停機造成的損害,同時兼顧安全性與可用性。以下是一些可採取的步驟,協助在任何情況下持續存取您的基礎架構:
Linux
如果突發停機時需要存取 Linux 主機,該怎麼辦?為了在發生中斷時仍能維持對 Linux 主機的存取,一個通用且可靠的防護措施是在所有主機上都建立本機 sudo 使用者。
首先,建議使用設定管理工具(例如 Puppet、Chef 或 Ansible)來管理主機上的管理員。接著,將該管理員受密碼保護的 SSH 金鑰儲存在保管庫中(即KMS、1Password 等)。理想情況下,您會希望對該金鑰存取設定稽核控制,以便查看是誰在何時擷取了它。
此外,Foxpass 還提供可在獨立伺服器上執行的本機快取。快取會定期與我們的主要資料庫同步,因此一旦發生任何停機情況,您的伺服器將使用本機快取來維持不中斷的服務。
Wi-Fi®/RADIUS
如果無法聯絡我們的 RADIUS 端點,建議先設定好採用 WPA2(共用密碼)的 SSID,以便在需要時啟用。如果使用的是可遠端設定裝置的 Mobile Device Management (MDM) 解決方案,即可在無需終端使用者參與的情況下,自動儲存網路密碼。
我們也正在為本機快取加入 RADIUS 支援。如需進一步了解,請透過 help@foxpass.com 與我們聯絡。
VPN
目前,若目錄服務發生中斷,讓 VPN 持續運作的唯一方式,就是準備備援目錄或其他系統,作為第二種驗證方法。
由於 VPN 是最重要的安全工具之一,因此值得想想,為了讓它更好用,您願意犧牲多少防護!
整體整合起來
測試是這些備份措施中經常被忽略的一環。執行測試有助於為潛在的中斷做好準備,因為準備不足可能會大幅延遲系統復原。建議每 3 到 4 個月設定一次定期任務,以確保備份系統仍能正常運作。
如果使用的是 Foxpass 快取,您可以在主控台的「Cache」頁面查看上次同步執行的時間,以及是否成功。您也可以將主機直接指向您的快取(略過主要的 Foxpass 端點),以再次確認驗證機制運作正常。
說到底,在可用性與安全性之間,永遠都需要拿捏一個微妙的平衡。雖然網路化目錄可讓系統更容易存取且更加安全,但也會讓系統多暴露於一個潛在的停機原因。
準備應變計畫很重要,才能讓基礎架構隨時因應任何突發狀況。妥善準備,往往就是快速復原與長時間中斷之間的關鍵差異。
保持安全!
- Foxpass 團隊
Wi-Fi 是 Wi-Fi Alliance® 的商標
