网络和服务器安全对任何企业的健康运营都至关重要,而管理 Secure Shell(SSH)密钥和服务器访问权限,是组织提升安全性的最重要第一步之一。在 Foxpass,我们通过网络化身份服务帮助集中管理服务器访问(以及更多功能),该服务可将目录连接到云基础设施。
与任何基础架构设置一样,是否使用像 Foxpass 这样的云身份服务这一决定,既有优势,也有不足。
当网络身份服务运行良好时,它可以帮助简化访问控制,同时提升易用性和安全性。该目录充当单一事实来源,消除身份验证机制中的任何漏洞。
不过,这类解决方案最大的缺点可能就是停机时间。当目录服务中断时,与其集成的所有系统访问也会随之中断。在这种情况下,单一事实来源反而会成为一种负担,因为系统要么为了保持安全而只能等待服务恢复,要么为了继续可用而切换到安全性较低的身份验证方法。
幸运的是,有一些方法可以减轻停机造成的损失,同时兼顾安全性和易用性。以下是一些可采取的措施,帮助在任何情况下持续访问您的基础设施:
Linux
如果突发宕机时需要访问 Linux 主机,会怎么办?一个通用且可靠的故障保护措施,是在所有 Linux 主机上都设置一个本地 sudo 用户,以便在发生中断时仍能保持对 Linux 主机的访问。
首先,需要使用配置管理工具(如 Puppet、Chef 或 Ansible)来管理主机上的管理员。然后,将该管理员受密��码保护的 SSH 密钥存储在保险库中(即KMS、1Password 等)。理想情况下,您需要对该密钥访问设置审计控制,以便查看是谁在何时检索了它。
此外,Foxpass 还提供可在单独服务器上运行的本地缓存。缓存会定期与我们的主数据库同步,因此即使发生宕机,您的服务器也会使用本地缓存来保持服务不中断。
Wi-Fi®/RADIUS
如果无法连接到我们的 RADIUS 端点,建议预先配置一个使用 WPA2(共享密码)的 SSID,以便在需要时启用。如果使用的是可远程配置设备的移动设备管理(MDM)解决方案,则无需最终用户参与,即可自动存储网络密码。
我们也正在为本地缓存添加 RADIUS 支持。如需了解更多信息,请通过 help@foxpass.com 联系我们。
VPN
目前,在目录服务中断时维持 VPN 正常运行的唯一方法,是运行一个备用目录或其他系统,作为第二种身份验证方法。
VPN 是最重要的安全工具之一,因此值得考虑一下:为了让它更易用,愿意牺牲多少保护!
整合在一起
测试往往是这些备份措施中被忽视的一环。进行测试有助于为潜在的中断做好准备,因为准备不足可能会大幅延迟系统恢复。建议每隔 3-4 个月设置一次定期任务,以确保备份系统仍能正常运行。
如果使用的是 Foxpass 缓存,可以在控制台的“Cache”页面查看上次同步运行的时间,以及同步是否成功。您还可以将主机直接指向您的缓存(绕过主要的 Foxpass 端点),以再次确认身份验证机制是否正常工作。
归根结底,易用性与安全性之间始终需要把握微妙的平衡。虽然联网目录可以让系统更易于访问且更安全,但它也会让系统面临一个额外的潜在停机原因。
制定应急预案非常重要,这样才能让基础设施随时做好准备,应对任何突发情况。充分做好准备,往往是快速恢复与长时间中断之间的关键差别。
注意安全!
- Foxpass 团队
Wi-Fi 是 Wi-Fi Alliance® 的商标
