La sécurité du réseau et des serveurs est essentielle à la bonne santé de toute entreprise, et la gestion des clés Secure Shell (SSH) et de l’accès aux serveurs est l’une des premières étapes les plus importantes qu’une organisation puisse entreprendre pour renforcer sa sécurité. Chez Foxpass, nous vous aidons à gérer de manière centralisée l’accès aux serveurs (et bien plus encore) grâce à notre service d’identité en réseau qui connecte votre annuaire à votre infrastructure cloud.
Comme pour toute infrastructure, la décision d’utiliser un service d’identité cloud comme Foxpass présente à la fois des avantages et des inconvénients.
Lorsqu’un service d’identité réseau fonctionne bien, il permet de rationaliser le contrôle d’accès, en améliorant à la fois la facilité d’utilisation et la sécurité. L’annuaire agit comme une source unique de vérité, éliminant toute faille dans vos mécanismes d’authentification.
Cependant, les temps d’arrêt peuvent être le principal inconvénient de ce type de solution. Quand votre annuaire tombe en panne, l’accès à tous les systèmes que vous y avez intégrés tombe aussi en panne. Dans ce cas, disposer d’une source unique de vérité devient un inconvénient, car vous êtes contraint de choisir entre préserver la sécurité de votre système en attendant le rétablissement du service, ou maintenir son utilisation en basculant vers une méthode d’authentification moins sécurisée.
Heureusement, il existe des moyens d’atténuer l’impact des temps d’arrêt et de maintenir simultanément la sécurité et la convivialité. Voici quelques mesures que vous pouvez prendre pour maintenir l’accès à votre infrastructure, quel que soit le scénario :
Linux
Que se passe-t-il si vous avez besoin d’accéder à un hôte Linux lorsqu’une panne imprévue survient ? Une bonne mesure de sécurité générale pour maintenir l’accès aux hôtes Linux en cas de panne consiste à disposer d’un utilisateur sudo local sur tous vos hôtes.
Tout d’abord, utilisez un outil de gestion de configuration (comme Puppet, Chef ou Ansible) pour gérer les administrateurs sur les hôtes. Ensuite, stockez la clé SSH protégée par mot de passe de cet administrateur dans un coffre-fort (c.-à-d. KMS, 1Password, etc.). Idéalement, vous devrez mettre en place des contrôles d’audit sur cet accès à la clé afin de voir qui l’a récupérée et quand.
De plus, Foxpass propose un cache local que vous pouvez exécuter sur un serveur distinct. Le cache se synchronise périodiquement avec notre base de données principale. Ainsi, en cas d’indisponibilité, vos serveurs utiliseront le cache local pour maintenir un service ininterrompu.
Wi-Fi®/RADIUS
Si vous ne pouvez pas contacter notre point de terminaison RADIUS, il est utile d’avoir un SSID configuré avec WPA2 (mot de passe partagé) prêt à être activé. Si vous utilisez une solution de gestion des appareils mobiles (MDM) qui vous permet de configurer les machines à distance, vous pouvez enregistrer automatiquement le mot de passe réseau sans aucune intervention de l’utilisateur final.
Nous travaillons également à l’ajout de la prise en charge de RADIUS à notre cache local. Contactez-nous à l’adresse help@foxpass.com pour en savoir plus.
VPN
À l’heure actuelle, la seule façon de maintenir un VPN en fonctionnement en cas d’interruption de service de l’annuaire est de disposer d’un annuaire de sauvegarde ou d’un autre système fonctionnant comme deuxième méthode d’authentification.
Comme votre VPN est l’un de vos outils de sécurité les plus importants, il vaut la peine de réfléchir au niveau de protection que vous êtes prêt à sacrifier pour le rendre plus facile à utiliser !
Assembler le tout
Les tests sont un aspect souvent négligé de ces mesures de sauvegarde. Effectuer des tests vous aide à vous préparer à d’éventuelles pannes, car un manque de préparation pourrait retarder considérablement la reprise de votre système. Il est conseillé de configurer une tâche récurrente tous les 3 à 4 mois afin de s’assurer que vos systèmes de sauvegarde fonctionnent toujours correctement.
Si vous utilisez le cache Foxpass, vous pouvez consulter la page « Cache » dans la console pour voir la dernière fois qu’une synchronisation a été exécutée et si elle a réussi. Vous pouvez également pointer un hôte directement vers votre cache (en contournant les principaux endpoints Foxpass) pour vérifier une nouvelle fois que le mécanisme d’authentification fonctionne.
En fin de compte, il y aura toujours un équilibre délicat à trouver entre facilité d’utilisation et sécurité. Bien qu’un annuaire réseau puisse rendre vos systèmes plus faciles d’accès et plus sécurisés, il expose également vos systèmes à une cause potentielle supplémentaire d’indisponibilité.
Il est important de prévoir des plans de secours pour que votre infrastructure soit prête à faire face à toute éventualité. Une préparation adéquate peut faire toute la différence entre une reprise rapide et des interruptions prolongées.
Restez en sécurité !
- L’équipe Foxpass
Wi-Fi est une marque déposée de Wi-Fi Alliance®
