最近では多くの組織と同様に、御社のサーバーもおそらくクラウドでホストされているでしょう。クラウドホスト型インフラは多くの運用上のメリットをもたらしますが、セキュリティの低下を招く可能性もあります…セキュアリモートアクセスVPNのようなツールがあれば別ですが。
クラウドシステムに対する攻撃ベクトルの数は、実質的に数え切れないほど多くあります。たとえば、パスワードリストが流出したり、秘密SSH鍵がGitHubにチェックインされたり、元従業員が古い資格情報を再利用したり、従業員がスピアフィッシングの被害に遭ったりします。組織がセキュリティ強化に向けて最初に取るべき最も重要な対策の1つは、ホストをVPN内に配置するか、踏み台ホストの背後に置くことです。
The Edge
VPNと踏み台ホストにはそれぞれ長所と短所がありますが、主な価値は、すべてのアクセスを単一のポイントに集約できることにあります。単一のエントリポイント(または「エッジ」)を使用して本番システムへのアクセスを行うことは、ハッカーやその他のサイバー攻撃の侵入経路となり得るポイントを制限できるため、重要なセキュリティ対策です。
VPN内で新しいリソースが立ち上げられると、適切な設定によって自動的に保護されます。VPNがなければ、漏えいしたパスワードやSSHキーだけで本番環境のリソースにアクセスできてしまいます。忘れないでください。システムの安全性は最も弱い部分に左右されます。そして、単純なSSHキーや固定パスワードだけでは、それ自体ではかなり脆弱です。
アカウント管理
ただし、VPNには独自の資格情報システムも必要です。手動でユーザー管理に戻したくなるかもしれませんが、社外の人がアクセスできないようにするためにも、VPNは従業員データストアと連携させるのが最善です。
新しい従業員を受け入れる際、必要なリソースにすぐにアクセスできるようになります。さらに重要なのは、従業員をオフボーディングすると、その従業員は即座にインフラへのアクセスを失うことです。認証情報管理システムを手作業で管理すると、人の手が介在するため、残念ながら時間がかかり、手間も大きく、ミスが発生しやすいプロセスになってしまいます。
IDの保護
VPNのもう1つの重要な機能である多要素認証(MFA)は、統合された認証情報管理で生じる穴を補います。単一のアカウントストアを使用することで不要なユーザーを締め出せるとすれば、多要素認証はそのユーザーが本人であることを確実にします。
ユーザーがVPNへのログインを試みると、ログインの試行を承認するための別のメッセージが、事前に認証されたデバイスに送信されます。ユーザーが本人であれば、ログインの試行を承認できます。その結果、MFAにより、キーボードの向こうにいる人が本人であることを確認できます。
多くのシステムでは、Duo のようなスマートフォンベースのサービスを使用していますが、RSA keys や Yubikeys のようなサードパーティ製デバイスもかなり一般的です。パスワードやSSHキーは簡単に侵害される可能性がありますが、ユーザーの物理デバイスやスマートフォンにもアクセスされるとなると、それははるかに難しくなります。さらに、これらの物理デバイスはリモートで盗まれることがないため、攻撃ベクトルを桁違いに減らせます。
導入
ベストプラクティスについて話すのは簡単ですが、それを実際に実装するのはまったく別の話です。多くの運用業務と同じように、課題が耐え難いほど大きくなるまで、物事はなかなか実装されないものです。
多くの企業にとって、OpenVPN サーバー(OpenVPN Access Serverを含む)のセットアップには、希望する以上に時間がかかります。踏み台ホストの設定も同様で、その複雑さを考えると、手間をかける価値があるとは思えません。ただし、セキュリティ対策には「課題」はありません。システムは安全か、そうでないかのどちらかであり、セキュアなVPNシステムを扱う際の多少の煩わしさよりも、想定される最悪のシナリオのほうがはるかに重大です。
幸い、Foxpass は、これらすべての機能を備え、設定も簡単な無料のVPNを発表したばかりです。Foxpass を使用して組織の従業員ディレクトリと統合し、Duo とも統合して MFA に対応します。AMIを立ち上げるだけで、すぐに使い始められます。このVPNはカスタムソフトウェアを必要とせず、OSに組み込まれているVPNシステムと直接連携するため、簡単にセットアップして利用できます。
Foxpassを実際に体験してみませんか?AMIはこちらをご覧ください。Github repoからご自身でイメージを構築することも、こちらをクリックして無料トライアルを開始することもできます。
