Como muitas organizações hoje em dia, os servidores da sua empresa estão provavelmente alojados na cloud. Embora a infraestrutura alojada na cloud possa proporcionar inúmeros benefícios operacionais, também pode resultar numa segurança mais fraca... a menos que tenha uma ferramenta como uma VPN de acesso remoto segura.
O número de vetores de ataque num sistema cloud é praticamente alto demais para contar; listas de palavras-passe são divulgadas, chaves SSH privadas são publicadas no GitHub, ex-funcionários reutilizam credenciais antigas, colaboradores caem em ataques de spear phishing, e assim por diante. Um dos primeiros passos mais críticos que uma organização pode dar para reforçar a segurança é colocar os seus hosts numa VPN ou atrás de um bastion host.
The Edge
Tanto uma VPN como um bastion host têm os seus pontos fortes e fracos, mas o principal valor que proporcionam é canalizar todo o acesso através de um único ponto. Usar um único ponto de entrada (ou “edge”) para aceder aos seus sistemas de produção é uma medida de segurança importante, pois limita os potenciais pontos de acesso para hackers e outros ciberataques.
Quando novos recursos são criados dentro de uma VPN, ficam automaticamente protegidos com a configuração adequada. Sem uma VPN, uma palavra-passe ou chave SSH comprometida é suficiente para aceder aos seus recursos de produção. Lembre-se: um sistema é tão seguro quanto o seu elo mais fraco, e uma simples chave SSH ou palavra-passe estática é, por si só, bastante fraca.
Gestão de contas
No entanto, a sua VPN também precisa do seu próprio sistema de credenciais. Pode ser tentador recorrer à gestão manual de utilizadores, mas o melhor é associar a VPN à base de dados de colaboradores para garantir que ninguém fora da empresa consegue obter acesso.
Quando integra um novo colaborador, este pode ter acesso imediato aos recursos de que precisa. Mais importante ainda, quando remove um colaborador da empresa, este perde instantaneamente o acesso à sua infraestrutura. Gerir manualmente o sistema de credenciação introduz um fator humano que, infelizmente, torna o processo lento, exigente e propenso a erros.
Proteger a identidade
Outra funcionalidade crítica da VPN, a autenticação multifator (MFA), reforça as falhas deixadas pela gestão integrada de credenciais. Se utilizar uma única loja de contas mantém os utilizadores indesejados de fora, a autenticação multifator garante que esses utilizadores são quem dizem ser.
Quando um utilizador tenta iniciar sessão na VPN, é enviada uma mensagem separada para um dispositivo previamente autenticado para aprovar a tentativa de início de sessão. Se o utilizador for quem diz ser, pode aprovar a tentativa de início de sessão. Como resultado, a MFA garante que a pessoa ao teclado é quem diz ser.
Muitos sistemas utilizam serviços baseados em smartphones, como o Duo, embora dispositivos de terceiros, como chaves RSA e Yubikeys, também sejam bastante comuns. Embora as palavras-passe e as chaves SSH possam ser facilmente comprometidas, é muito mais difícil obter também acesso ao dispositivo físico ou telemóvel de um utilizador. Além disso, estes dispositivos físicos não podem ser roubados remotamente, reduzindo a superfície de ataque em várias ordens de grandeza.
Implementação
Embora seja ótimo falar sobre as melhores práticas, implementá-las é algo completamente diferente. Tal como acontece com a maioria das práticas operacionais, muitas vezes só são implementadas quando o problema se torna demasiado difícil de suportar.
Para muitas empresas, configurar um servidor OpenVPN, mesmo o OpenVPN Access Server, demora mais tempo do que gostariam de gastar. O mesmo se aplica à configuração de um bastion host – a sua complexidade simplesmente não parece justificar o esforço. No entanto, não existe um “ponto problemático” para as medidas de segurança. O seu sistema é seguro ou não é, e o pior cenário possível supera claramente qualquer incómodo que lidar com um sistema VPN seguro possa causar.
Felizmente, a Foxpass acaba de anunciar uma VPN gratuita que inclui todas estas funcionalidades e é simples de configurar. Utiliza o Foxpass para se integrar com o diretório de colaboradores da sua organização e integra-se com o Duo para MFA. Basta lançar a AMI e fica tudo pronto a usar! A VPN não requer software personalizado e integra-se diretamente com o sistema VPN incorporado no seu SO, tornando-a fácil de configurar e utilizar.
Quer experimentar o Foxpass por si? Veja a AMI aqui, crie a imagem por conta própria a partir do nosso Github repo ou clique aqui para começar com uma avaliação gratuita:
