La seguridad de la red y de los servidores es vital para la salud de cualquier empresa, y gestionar las claves de Secure Shell (SSH) y el acceso a los servidores es uno de los primeros pasos más importantes que una organización puede dar para mejorar su seguridad. Aquí en Foxpass, te ayudamos a gestionar de forma centralizada el acceso a servidores (y mucho más) a través de nuestro servicio de identidad en red que conecta tu directorio con tu infraestructura en la nube.
Como ocurre con cualquier configuración de infraestructura, la decisión de usar un servicio de identidad en la nube como Foxpass conlleva ventajas e inconvenientes.
Cuando funciona bien, un servicio de identidad de red te permite optimizar el control de acceso, mejorando tanto la facilidad de uso como la seguridad. El directorio actúa como una única fuente de verdad, eliminando cualquier brecha en tus mecanismos de autenticación.
Sin embargo, el tiempo de inactividad puede ser el mayor inconveniente de este tipo de solución. Cuando tu directorio deja de funcionar, también se interrumpe el acceso a todos los sistemas con los que lo has integrado. En ese caso, tener una única fuente fiable se convierte en una desventaja, ya que te ves obligado a elegir entre mantener tu sistema seguro y esperar a que se restablezca el servicio, o mantenerlo utilizable y cambiar a un método de autenticación menos seguro.
Por suerte, hay formas de mitigar el daño del tiempo de inactividad y mantener al mismo tiempo la seguridad y la facilidad de uso. Aquí tienes algunos pasos que puedes seguir para mantener el acceso a tu infraestructura en cualquier situación:
Linux
¿Qué pasa si necesitas acceder a un host Linux cuando se produce un tiempo de inactividad inesperado? Una buena medida de seguridad general para mantener el acceso a hosts Linux en caso de una interrupción es tener un usuario local con sudo en todos tus hosts.
Primero, te conviene usar una herramienta de gestión de configuración (como Puppet, Chef o Ansible) para gestionar los administradores en los hosts. Después, guarda la clave SSH protegida con contraseña de ese administrador en una bóveda (es decir, KMS, 1Password, etc.). Lo ideal es que tengas controles de auditoría para ese acceso a claves, de modo que puedas ver quién las recuperó y cuándo.
Además, Foxpass ofrece una caché local que puedes ejecutar en un servidor independiente. La caché se sincroniza periódicamente con nuestra base de datos principal, por lo que, en caso de cualquier tiempo de inactividad, tus servidores usarán la caché local para mantener el servicio ininterrumpido.
Wi-Fi®/RADIUS
Si no puedes contactar con nuestro endpoint de RADIUS, te conviene tener un SSID configurado con WPA2 (contraseña compartida) listo para habilitar. Si usas una solución de gestión de dispositivos móviles (MDM) con la que puedes configurar las máquinas de forma remota, puedes guardar la contraseña de la red automáticamente sin que el usuario final tenga que intervenir.
También estamos trabajando para añadir compatibilidad con RADIUS a nuestra caché local. Contáctanos en help@foxpass.com para obtener más información.
VPN
Ahora mismo, la única forma de mantener una VPN en funcionamiento en caso de una interrupción del servicio del directorio es contar con un directorio de respaldo u otro sistema que funcione como segundo método de autenticación.
Como tu VPN es una de tus herramientas de seguridad más importantes, merece la pena que consideres cuánta protección estás dispuesto a sacrificar para que sea más fácil de usar.
Juntándolo todo
Las pruebas son un aspecto que a menudo se pasa por alto en estas medidas de copia de seguridad. Realizar pruebas te ayuda a prepararte para posibles interrupciones, ya que no prepararte podría retrasar considerablemente la recuperación de tu sistema. Se recomienda configurar una tarea recurrente cada 3-4 meses para asegurarte de que tus sistemas de copia de seguridad sigan funcionando correctamente.
Si estás usando la caché de Foxpass, puedes consultar la página “Cache” en la consola para ver la última vez que se ejecutó una sincronización y si se completó correctamente. También puedes apuntar un host directamente a tu caché (omitiendo los endpoints principales de Foxpass) para comprobar de nuevo que el mecanismo de autenticación funciona.
Al final del día, siempre habrá un equilibrio delicado entre usabilidad y seguridad. Aunque un directorio en red puede hacer que tus sistemas sean más fáciles de acceder y más seguros, también expone tus sistemas a una causa adicional potencial de tiempo de inactividad.
Es importante contar con planes de contingencia para que tu infraestructura esté preparada para cualquier situación. Una buena preparación puede marcar la diferencia entre una recuperación rápida y interrupciones prolongadas.
¡Mantente seguro!
- Equipo de Foxpass
Wi-Fi es una marca comercial de Wi-Fi Alliance®
