Como muchas organizaciones hoy en día, es probable que los servidores de tu empresa estén alojados en la nube. Aunque la infraestructura alojada en la nube puede ofrecer numerosas ventajas operativas, también puede dar lugar a una seguridad más débil... a menos que tengas una herramienta como una VPN de acceso remoto segura.
El número de vectores de ataque en un sistema en la nube es prácticamente demasiado alto como para contarlo; se filtran listas de contraseñas, se suben claves SSH privadas a GitHub, antiguos empleados reutilizan credenciales viejas, los empleados caen víctimas del spear-phishing, y así sucesivamente. Uno de los primeros pasos más críticos que una organización puede dar para mejorar la seguridad es poner sus hosts en una VPN o detrás de un host bastión.
La ventaja
Tanto una VPN como un bastion host tienen sus puntos fuertes y débiles, pero el principal valor que aportan es canalizar todo el acceso a través de un único punto. Usar un único punto de entrada (o «edge») para acceder a tus sistemas de producción es una medida de seguridad importante, ya que limita los posibles puntos de acceso para hackers y otros ciberataques.
Cuando se ponen en marcha nuevos recursos dentro de una VPN, se protegen automáticamente con la configuración adecuada. Sin una VPN, una contraseña o clave SSH comprometida es suficiente para acceder a tus recursos de producción. Recuerda: un sistema es tan seguro como su eslabón más débil, y una simple clave SSH o una contraseña estática son bastante débiles por sí solas.
Gestión de cuentas
Sin embargo, tu VPN también necesita su propio sistema de credenciales. Puede resultar tentador volver a la gestión manual de usuarios, pero lo mejor es vincular la VPN al almacén de datos de empleados para garantizar que nadie ajeno a la empresa pueda obtener acceso.
Cuando incorporas a un nuevo empleado, puede tener acceso al instante a los recursos que necesita. Y, lo que es más importante, cuando das de baja a un empleado, pierde al instante el acceso a tu infraestructura. Gestionar manualmente el sistema de credenciales añade un factor humano que, por desgracia, hace que el proceso sea lento, requiera mucho esfuerzo y sea propenso a errores.
Protección de la identidad
Otra función crítica de la VPN, la autenticación multifactor (MFA), refuerza las brechas que deja la gestión de credenciales integrada. Si usar una única tienda de cuentas mantiene fuera a los usuarios no deseados, la autenticación multifactor se asegura de que esos usuarios sean quienes dicen ser.
Cuando un usuario intenta iniciar sesión en la VPN, se envía un mensaje independiente a un dispositivo autenticado previamente para aprobar el intento de inicio de sesión. Si el usuario es quien dice ser, puede aprobar el intento de inicio de sesión. Como resultado, la MFA garantiza que la persona que está detrás del teclado es quien dice ser.
Muchos sistemas usan servicios basados en smartphones como Duo, aunque los dispositivos de terceros como RSA keys y Yubikeys también son bastante comunes. Aunque las contraseñas y las claves SSH pueden verse comprometidas fácilmente, es mucho más difícil acceder también al dispositivo físico o al teléfono de un usuario. Además, estos dispositivos físicos no se pueden robar de forma remota, lo que reduce el vector de ataque en varios órdenes de magnitud.
Implementación
Aunque está muy bien hablar de mejores prácticas, implementarlas es otra historia por completo. Como ocurre con la mayoría de las prácticas operativas, a menudo las cosas no se implementan hasta que el problema se vuelve demasiado grande como para soportarlo.
Para muchas empresas, configurar un servidor de OpenVPN, incluso OpenVPN Access Server, lleva más tiempo del que les gustaría dedicar. Lo mismo ocurre con la configuración de un host bastión: su complejidad sencillamente no parece compensar el esfuerzo. Sin embargo, no existe ningún «pain point» para las medidas de seguridad. Tu sistema es seguro o no lo es, y el peor escenario posible sin duda pesa más que cualquier molestia que pueda causar lidiar con un sistema VPN seguro.
Por suerte, Foxpass acaba de anunciar una VPN gratuita que incluye todas estas funciones y es fácil de configurar. Usa Foxpass para integrarse con el directorio de empleados de tu organización y se integra con Duo para la MFA. Solo inicia la AMI y estarás listo para empezar. La VPN no necesita software personalizado y se integra directamente con el sistema VPN integrado de tu sistema operativo, por lo que es fácil de configurar y usar.
¿Quieres probar Foxpass por ti mismo? Consulta la AMI aquí, crea la imagen tú mismo desde nuestro Github repo o haz clic aquí para comenzar una prueba gratuita:
