La sicurezza della rete e dei server è fondamentale per la salute di qualsiasi azienda, e la gestione delle chiavi Secure Shell (SSH) e dell’accesso ai server è uno dei primi passi più importanti che un’organizzazione possa compiere per migliorare la propria sicurezza. Qui in Foxpass ti aiutiamo a gestire centralmente l'accesso ai server (e molto altro) tramite il nostro servizio di identità in rete che collega la tua directory alla tua infrastruttura cloud.
Come per qualsiasi configurazione dell'infrastruttura, la decisione di utilizzare un servizio di identità cloud come Foxpass comporta sia vantaggi che svantaggi.
Quando funziona bene, un servizio di identità di rete ti consente di semplificare il controllo degli accessi, migliorando sia la facilità d’uso sia la sicurezza. La directory funge da unica fonte affidabile, eliminando eventuali lacune nei tuoi meccanismi di autenticazione.
Tuttavia, i tempi di inattività possono essere il principale svantaggio di questo tipo di soluzione. Quando la tua directory non è disponibile, si interrompe anche l’accesso a tutti i sistemi con cui l’hai integrata. In quel caso, avere un’unica fonte attendibile diventa uno svantaggio, perché sei costretto a scegliere tra mantenere il sistema sicuro e aspettare il ripristino del servizio oppure mantenerlo utilizzabile e passare a un metodo di autenticazione meno sicuro.
Fortunatamente, esistono modi per ridurre i danni dei tempi di inattività e mantenere al tempo stesso sicurezza e facilità d'uso. Ecco alcuni passaggi che puoi seguire per mantenere l'accesso alla tua infrastruttura in qualsiasi scenario:
Linux
Cosa succede se hai bisogno di accedere a un host Linux quando si verifica un'interruzione imprevista? Una buona misura di sicurezza generale per mantenere l'accesso agli host Linux in caso di interruzione del servizio è avere un utente sudo locale su tutti i tuoi host.
Per prima cosa, ti consigliamo di usare uno strumento di gestione della configurazione (come Puppet, Chef o Ansible) per gestire gli amministratori sugli host. Quindi, archivia la chiave SSH protetta da password per quell’amministratore in un vault (ad es. KMS, 1Password, ecc.). Idealmente, dovresti avere controlli di audit su quell'accesso alla chiave, così da poter vedere chi l'ha recuperata e quando.
Inoltre, Foxpass offre una cache locale che puoi eseguire su un server separato. La cache si sincronizza periodicamente con il nostro database principale, quindi in caso di interruzione del servizio i tuoi server useranno la cache locale per mantenere il servizio senza interruzioni.
Wi-Fi®/RADIUS
Se non riesci a contattare il nostro endpoint RADIUS, è utile avere un SSID configurato con WPA2 (password condivisa) pronto da abilitare. Se utilizzi una soluzione di Mobile Device Management (MDM) con cui puoi configurare i dispositivi da remoto, puoi salvare automaticamente la password di rete senza alcun coinvolgimento dell’utente finale.
Stiamo lavorando anche per aggiungere il supporto RADIUS alla nostra cache locale. Contattaci all'indirizzo help@foxpass.com per saperne di più.
VPN
Al momento, l'unico modo per mantenere una VPN funzionante in caso di interruzione del servizio della directory è avere una directory di backup o un altro sistema in esecuzione come secondo metodo di autenticazione.
Dato che la tua VPN è uno dei tuoi strumenti di sicurezza più importanti, vale la pena considerare quanta protezione sei disposto a sacrificare per renderla più facile da usare!
Mettere tutto insieme
I test sono un aspetto spesso trascurato di queste misure di backup. Eseguire dei test ti aiuta a prepararti a possibili interruzioni, perché una mancata preparazione potrebbe ritardare notevolmente il ripristino del tuo sistema. Si consiglia di impostare un'attività ricorrente ogni 3-4 mesi per assicurarti che i tuoi sistemi di backup funzionino ancora correttamente.
Se utilizzi la cache di Foxpass, puoi controllare la pagina “Cache” nella console per vedere quando è stata eseguita l’ultima sincronizzazione e se è andata a buon fine. Puoi anche puntare un host direttamente alla tua cache (bypassando gli endpoint principali di Foxpass) per verificare nuovamente che il meccanismo di autenticazione funzioni.
Alla fine della giornata, ci sarà sempre un sottile equilibrio da trovare tra usabilità e sicurezza. Sebbene una directory di rete possa rendere i tuoi sistemi più facili da accedere e più sicuri, espone anche i tuoi sistemi a un'ulteriore potenziale causa di inattività.
È importante disporre di piani di emergenza per mantenere la tua infrastruttura pronta a qualsiasi evenienza. Una preparazione adeguata può fare la differenza tra un rapido ripristino e interruzioni prolungate.
Resta al sicuro!
- Team di Foxpass
Wi-Fi è un marchio di Wi-Fi Alliance®
