Come molte organizzazioni al giorno d’oggi, probabilmente i server della tua azienda sono ospitati nel cloud. Sebbene un'infrastruttura ospitata nel cloud possa offrire numerosi vantaggi operativi, può anche comportare un indebolimento della sicurezza... a meno che tu non disponga di uno strumento come una VPN per accesso remoto sicura.
Il numero di vettori di attacco su un sistema cloud è praticamente troppo alto per essere contato; gli elenchi di password vengono divulgati, le chiavi SSH private vengono caricate su GitHub, gli ex dipendenti riutilizzano vecchie credenziali, i dipendenti cadono vittima di attacchi di spear phishing e così via. Uno dei primi passi più critici che un'organizzazione può compiere verso una migliore sicurezza è inserire i propri host in una VPN o dietro un bastion host.
The Edge
Sia una VPN sia un bastion host hanno i loro punti di forza e di debolezza, ma il valore principale che offrono è convogliare tutto l'accesso attraverso un unico punto. Utilizzare un singolo punto di accesso (o “edge”) per accedere ai tuoi sistemi di produzione è un'importante misura di sicurezza, perché limita i potenziali punti di ingresso per hacker e altri attacchi informatici.
Quando nuove risorse vengono create all'interno di una VPN, vengono automaticamente protette con una configurazione appropriata. Senza una VPN, una password compromessa o una chiave SSH sono sufficienti per accedere alle tue risorse di produzione. Ricorda: un sistema è sicuro solo quanto il suo anello più debole, e una semplice chiave SSH o una password statica sono di per sé piuttosto deboli.
Gestione dell’account
Tuttavia, anche la tua VPN ha bisogno di un proprio sistema di credenziali. Può essere allettante tornare alla gestione manuale degli utenti, ma è meglio collegare la VPN all'archivio dati dei dipendenti per garantire che nessuno al di fuori dell'azienda possa ottenere l'accesso.
Quando inserisci un nuovo dipendente, può avere subito accesso alle risorse di cui ha bisogno. Ancora più importante, quando un dipendente lascia l’azienda, perde immediatamente l’accesso alla tua infrastruttura. Gestire manualmente il sistema di accreditamento introduce un fattore umano che, purtroppo, rende il processo lento, laborioso e soggetto a errori.
Proteggere l'identità
Un’altra funzionalità critica della VPN, l’autenticazione a più fattori (MFA), rafforza le falle lasciate dalle credenziali integrate. Se l'uso di un archivio a account singolo tiene fuori gli utenti indesiderati, l'autenticazione a più fattori garantisce che quegli utenti siano davvero chi dicono di essere.
Quando un utente tenta di accedere alla VPN, viene inviato un messaggio separato a un dispositivo autenticato in precedenza per approvare il tentativo di accesso. Se l'utente è chi dice di essere, può approvare il tentativo di accesso. Di conseguenza, l'MFA garantisce che la persona dietro la tastiera sia davvero chi dice di essere.
Molti sistemi utilizzano servizi basati su smartphone come Duo, anche se sono abbastanza comuni anche dispositivi di terze parti come chiavi RSA e Yubikeys. Sebbene password e chiavi SSH possano essere facilmente compromesse, è molto più difficile ottenere anche l’accesso al dispositivo fisico o al telefono di un utente. Inoltre, questi dispositivi fisici non possono essere rubati da remoto, riducendo il vettore di attacco di diversi ordini di grandezza.
Implementazione
Anche se è fantastico parlare delle best practice, metterle in pratica è tutta un'altra cosa. Come per la maggior parte delle pratiche operative, spesso le cose non vengono implementate finché il problema non diventa troppo gravoso da sopportare.
Per molte aziende, configurare un server OpenVPN, anche OpenVPN Access Server, richiede più tempo di quanto vorrebbero dedicargli. Lo stesso vale per la configurazione di un bastion host: la sua complessità semplicemente non sembra valere lo sforzo. Tuttavia, non esiste alcun “punto dolente” per le misure di sicurezza. Il tuo sistema è sicuro oppure non lo è, e il potenziale scenario peggiore supera di certo qualsiasi fastidio possa causare l’uso di un sistema VPN sicuro.
Per fortuna, Foxpass ha appena annunciato una VPN gratuita che include tutte queste funzionalità ed è semplice da configurare. Usa Foxpass per integrarsi con la directory dipendenti della tua organizzazione e si integra con Duo per l'MFA. Basta avviare l'AMI e sei pronto a partire! La VPN non richiede software personalizzati e si integra direttamente con il sistema VPN integrato del tuo OS, rendendola facile da configurare e utilizzare.
Vuoi provare Foxpass in prima persona? Scopri l'AMI qui, crea l'immagine tu stesso dal nostro repo Github oppure clicca qui per iniziare con una prova gratuita:
