Zoals bij veel organisaties tegenwoordig worden de servers van je bedrijf waarschijnlijk in de cloud gehost. Hoewel cloudgehoste infrastructuur talloze operationele voordelen kan bieden, kan het ook leiden tot verzwakte beveiliging... tenzij je een tool hebt zoals een veilige VPN voor externe toegang.
Het aantal aanvalsvectoren op een cloudsysteem is praktisch te hoog om te tellen; wachtwoordlijsten worden gelekt, privésleutels voor SSH worden ingecheckt in GitHub, ex-medewerkers hergebruiken oude inloggegevens, medewerkers worden slachtoffer van spearphishing, enzovoort. Een van de belangrijkste eerste stappen die een organisatie kan zetten richting betere beveiliging, is haar hosts in een VPN onderbrengen of achter een bastion host plaatsen.
De grens
Zowel een VPN als een bastion host hebben hun sterke en zwakke punten, maar de belangrijkste waarde die ze bieden is dat alle toegang via één enkel punt verloopt. Het gebruik van één toegangspunt (of “edge”) om toegang te krijgen tot je productiesystemen is een belangrijke beveiligingsmaatregel, omdat het het aantal potentiële toegangspunten voor hackers en andere cyberaanvallen beperkt.
Wanneer nieuwe resources binnen een VPN worden opgestart, worden ze automatisch beveiligd met de juiste configuratie. Zonder een VPN is een gecompromitteerd wachtwoord of een SSH-sleutel al genoeg om toegang te krijgen tot je productiebronnen. Onthoud: een systeem is slechts zo veilig als de zwakste schakel, en een eenvoudige SSH-sleutel of statisch wachtwoord is op zichzelf behoorlijk zwak.
Accountbeheer
Je VPN heeft echter ook een eigen systeem voor inloggegevens. Het kan verleidelijk zijn om terug te vallen op handmatig gebruikersbeheer, maar het is het beste om de VPN te koppelen aan de werknemersdatabase, zodat niemand buiten het bedrijf toegang kan krijgen.
Wanneer je een nieuwe medewerker onboardt, heeft die direct toegang tot de resources die nodig zijn. Nog belangrijker: wanneer je een medewerker uit dienst laat gaan, verliest die direct de toegang tot je infrastructuur. Het credentialingsysteem handmatig beheren voegt een menselijke factor toe, wat helaas leidt tot een traag, arbeidsintensief en foutgevoelig proces.
Identiteit beveiligen
Een andere cruciale VPN-functie, meervoudige verificatie (MFA), dicht de gaten die geïntegreerde inloggegevens achterlaten. Als het gebruik van één accountstore ongewenste gebruikers buiten de deur houdt, zorgt multi-factor-authenticatie ervoor dat die gebruikers echt zijn wie ze zeggen dat ze zijn.
Wanneer een gebruiker probeert in te loggen op de VPN, wordt er een afzonderlijk bericht naar een eerder geauthenticeerd apparaat gestuurd om de inlogpoging goed te keuren. Als de gebruiker is wie die zegt te zijn, kan die de inlogpoging goedkeuren. Daardoor zorgt MFA ervoor dat de persoon achter het toetsenbord ook echt is wie die zegt te zijn.
Veel systemen gebruiken smartphonegebaseerde diensten zoals Duo, hoewel apparaten van derden zoals RSA keys en Yubikeys ook vrij gebruikelijk zijn. Hoewel wachtwoorden en SSH-sleutels gemakkelijk gecompromitteerd kunnen worden, is het veel lastiger om ook toegang te krijgen tot het fysieke apparaat of de telefoon van een gebruiker. Daarnaast kunnen deze fysieke apparaten niet op afstand worden gestolen, waardoor het aanvalsoppervlak met meerdere ordes van grootte afneemt.
Implementatie
Hoewel het geweldig is om over best practices te praten, is het iets heel anders om ze te implementeren. Zoals bij de meeste operationele processen gebeurt er vaak pas iets wanneer het pijnpunt te groot wordt om nog te negeren.
Voor veel bedrijven kost het opzetten van een OpenVPN -server, zelfs OpenVPN Access Server, meer tijd dan ze eraan willen besteden. Hetzelfde geldt voor het opzetten van een bastion host – de complexiteit ervan lijkt de moeite gewoon niet waard. Er is echter geen ‘pijnpunt’ voor beveiligingsmaatregelen. Je systeem is óf veilig, óf niet, en het potentiële worstcasescenario weegt zonder twijfel zwaarder dan welke ergernis dan ook die het werken met een veilig VPN-systeem kan veroorzaken.
Gelukkig heeft Foxpass zojuist een gratis VPN aangekondigd die al deze functies bevat en eenvoudig in te stellen is. Het gebruikt Foxpass om te integreren met de werknemersdirectory van je organisatie en integreert met Duo voor MFA. Start gewoon de AMI op en je kunt aan de slag! De VPN heeft geen aangepaste software nodig en integreert rechtstreeks met het ingebouwde VPN-systeem van je besturingssysteem, waardoor het eenvoudig is om op te zetten en te gebruiken.
Wil je Foxpass zelf ervaren? Bekijk de AMI hier, bouw de image zelf vanuit onze Github repo, of klik hier om te beginnen met een gratis proefperiode:
