和如今许多组织一样,贵公司的服务器很可能托管在云端。虽然云托管基础设施可以带来诸多运营优势,但也可能导致安全性减弱……除非您拥有像安全远程访问 VPN 这样的工具。
云系统面临的攻击向量多到几乎数不过来;密码列表会被泄露,私有 SSH 密钥会被提交到 GitHub,离职员工重复使用旧凭证,员工成为鱼叉式网络钓鱼的受害者,等等。组织提升安全性的首要关键步骤之一,就是将其主机置于 VPN 中或部署在堡垒机之后。
优势
VPN 和堡垒主机各有优缺点,但它们提供的主要价值是将所有访问都集中通过单一入口。使用单一入口点(或“边缘”)访问生产系统是一项重要的安全措施,因为这样可以限制黑客和其他网络攻击可能入侵的入口点。
当 VPN 内启动新资源时,它们会自动通过正确配置得到安全保护。没有 VPN 的情况下,只要密码或 SSH 密钥被泄露,就足以访问生产资源。请记住:一个系统的安全性取决于其最薄弱的一环,而单独使用简单的 SSH 密钥或静态密码其实相当脆弱。
账户管理
不过,VPN 也需要自己的一套凭证系统。手动管理用户看起来或许省事,但最好还是将 VPN 绑定到员工数据存储库,以确保公司外部人员无法获得访问权限。
新员工入职时,可立即获得所需资源的访问权限。更重要的是,当员工离职时,他们会立即失去对您的基础设施的访问权限。手动管理凭证系统会引入人为因素,而这不幸意味着流程缓慢、费力且容易出错。
身份安全
VPN 的另一项关键功能是多因素身份验证(MFA),可弥补集成凭证认证留下的漏洞。如果说使用单一账户存储能将不受欢迎的用户拒之门外,那么多因素身份验证则能确保这些用户确实是其所声称的本人。
当用户尝试登录 VPN 时,系统会向先前已通过身份验证的设备发送一条单独的消息,以批准此次登录尝试。如果用户确实是其本人,他们可以批准此次登录尝试。因此,MFA 可确保键盘后的人确实是其声称的身份。
许多系统使用基于智能手机的服务,例如 Duo,不过像 RSA keys 和 Yubikeys 这样的第三方设备也相当常见。虽然密码和 SSH 密钥很容易被攻破,但要同时获取用户的实体设备或手机就难得多。此外,这些物理设备无法被远程窃取,可将攻击面降低几个数量级。
实施
谈论最佳实践固然很好,但真正落实又是另一回事。和大多数运营实践一样,很多事情往往要等到痛点大到难以承受时,才会真正落实。
对许多公司来说,搭建 OpenVPN 服务器——即使是 OpenVPN Access Server——所花费的时间也比他们愿意投入的更长。设置堡垒主机也是一样——它的复杂性看起来根本不值得花这番工夫。不过,安全措施并不存在所谓的“痛点”。系统要么是安全的,要么就不是,而最坏情况下的潜在风险显然远远超过使用安全 VPN 系统可能带来的些许不便。
好在,Foxpass 刚刚发布了一款免费 VPN,包含所有这些功能,而且设置简单。它使用 Foxpass 与贵组织的员工目录集成,并与 Duo 集成以实现 MFA。只需启动 AMI,即可立即开始使用!该 VPN 无需任何自定义软件,并可直接集成到操作系统内置的 VPN 系统中,设置和使用都很方便。
想亲自体验一下 Foxpass 吗?可在此处查看 AMI,也可通过我们的 Github repo 自行构建镜像,或点击此处开始免费试用:
