和現今許多組織一樣,貴公司的伺服器很可能也是託管在雲端。雖然雲端託管基礎架構能帶來許多營運效益,但也可能削弱安全性……除非您使用像安全遠端存取 VPN 這樣的工具。
雲端系統的攻擊向量多到幾乎難以計數;密碼清單會遭到外洩、私密 SSH 金鑰被提交到 GitHub、離職員工重複使用舊認證、員工成為魚叉式網路釣魚的受害者,等等。組織若想提升安全性,最關鍵的第一步之一,就是將主機納入 VPN,或放在堡壘主機後方。
優勢
VPN 和 bastion host 各有優缺點,但它們提供的主要價值,在於將所有存取集中導向單一入口點。使用單一入口點(或稱「edge」)來存取生產系統,是一項重要的安全措施,因為這能限制駭客和其他網路攻擊可能入侵的管道。
當新的資源在 VPN 內啟動時,系統會自動以正確的設定加以保護。沒有 VPN 的情況下,只要密碼或 SSH key 外洩,就足以存取正式環境資源。請記住:系統的安全性取決於最弱的一環,而單獨使用簡單的 SSH 金鑰或靜態密碼其實相當脆弱。
帳戶管理
然而,VPN 也需要自己的認證系統。手動管理使用者或許看似方便,但最佳做法是將 VPN 與員工資料庫連結,以確保公司外部人員無法取得存取權限。
新進員工到職時,便能立即存取所需資源。更重要的是,當員工離職時,將立即失去對基礎架構的存取權。手動管理認證系統會增加人工作業因素,而這不幸地是個緩慢、高投入且容易出錯的流程。
身分安全
VPN 的另一項關鍵功能是多重要素驗證(MFA),可補強整合式認證所留下的漏洞。如果使用單一帳戶儲存庫能將不想要的使用者擋在門外,那麼多重要素驗證就能確保這些使用者確實是他們所聲稱的身分。
當使用者嘗試登入 VPN 時,系統會將另一則訊息傳送到先前已通過驗證的裝置,以核准這次登入嘗試。如果使用者的身分與其聲稱相符,即可核准此次登入嘗試。因此,MFA 可確保鍵盤後方的人確實是其聲稱的本人。
許多系統會使用以智慧型手機為基礎的服務,例如 Duo,不過像是 RSA keys 和 Yubikeys 這類第三方裝置也相當常見。雖然密碼和 SSH 金鑰很容易遭到入侵,但要同時取得使用者的實體裝置或手機就困難得多。此外,這些實體裝置無法被遠端竊取,可將攻擊面大幅降低好幾個數量級。
導入
談最佳實務固然很好,但要真正落實又是另一回事。和大多數營運實務一樣,事情往往要等到痛點大到難以承受時,才會真正落實。
對許多公司而言,設定 OpenVPN 伺服器(即使是 OpenVPN Access Server)所花的時間,往往比他們願意投入的還要長。設定 bastion host 也是一樣——它的複雜性看起來根本不值得花這些功夫。然而,安全措施並沒有什麼「痛點」。您的系統不是安全,就是不安全,而潛在的最糟情境,絕對比處理安全 VPN 系統可能帶來的任何麻煩更值得重視。
值得慶幸的是,Foxpass 剛宣布推出一款免費 VPN,包含上述所有功能,且設定簡單。它使用 Foxpass 與貴組織的員工目錄整合,並與 Duo 整合以提供 MFA。只要啟動 AMI,就能立即開始使用!VPN 無需任何自訂軟體,並可直接整合至作業系統內建的 VPN 系統,讓設定與使用都更加輕鬆。
想親自體驗 Foxpass 嗎?可在這裡查看 AMI、從我們的 Github repo 自行建置映像檔,或點擊這裡開始免費試用:
