Netwerk- en serverbeveiliging zijn essentieel voor de gezondheid van elk bedrijf, en het beheren van Secure Shell (SSH)-sleutels en servertoegang is een van de belangrijkste eerste stappen die een organisatie kan nemen om de beveiliging te verbeteren. Hier bij Foxpass helpen we je om servertoegang centraal te beheren (en nog veel meer) via onze netwerkgebaseerde identiteitsservice die je directory verbindt met je cloudinfrastructuur.
Zoals bij elke infrastructuuropset brengt de keuze om een cloudidentiteitsservice zoals Foxpass te gebruiken zowel voordelen als nadelen met zich mee.
Als het goed werkt, stelt een netwerkidentiteitsservice je in staat om toegangscontrole te stroomlijnen, waardoor zowel het gebruiksgemak als de beveiliging verbeteren. De directory fungeert als één enkele bron van waarheid en elimineert zo eventuele hiaten in je authenticatiemechanismen.
Downtime kan echter het grootste nadeel van dit type oplossing zijn. Wanneer je directory uitvalt, valt ook de toegang weg tot alle systemen waarmee je die hebt geïntegreerd. In dat geval wordt één centrale bron van waarheid juist een risico, omdat je moet kiezen tussen je systeem veilig houden en wachten tot de service weer beschikbaar is, of het bruikbaar houden en overstappen op een minder veilige authenticatiemethode.
Gelukkig zijn er manieren om de schade van uitvaltijd te beperken en tegelijk de beveiliging en bruikbaarheid te behouden. Hier zijn enkele stappen die je kunt nemen om in elk scenario toegang tot je infrastructuur te behouden:
Linux
Wat gebeurt er als je toegang nodig hebt tot een Linux-host wanneer er onverwachte downtime optreedt? Een goede, algemene fail-safe om toegang tot Linux-hosts te behouden bij een storing, is om op al je hosts een lokale sudo-gebruiker te hebben.
Om te beginnen gebruik je een configuratiebeheertool (zoals Puppet, Chef of Ansible) om de beheerders op de hosts te beheren. Sla vervolgens de met een wachtwoord beveiligde SSH-sleutel voor die beheerder op in een kluis (d.w.z. KMS, 1Password, enz.). Idealiter wil je auditcontroles op die sleuteltoegang hebben, zodat je kunt zien wie deze heeft opgehaald en wanneer.
Daarnaast biedt Foxpass een lokale cache die je op een aparte server kunt draaien. De cache synchroniseert periodiek met onze hoofddatabase, zodat je servers bij eventuele downtime de lokale cache gebruiken om de service zonder onderbreking te laten doorlopen.
Wi-Fi®/RADIUS
Als je geen verbinding kunt maken met ons RADIUS-eindpunt, is het handig om een SSID met WPA2 (gedeeld wachtwoord) geconfigureerd klaar te hebben om in te schakelen. Als je een Mobile Device Management (MDM)-oplossing gebruikt waarmee je de apparaten op afstand kunt configureren, kun je het netwerkwachtwoord automatisch opslaan zonder tussenkomst van de eindgebruiker.
We werken er ook aan om RADIUS-ondersteuning toe te voegen aan onze lokale cache. Neem contact met ons op via help@foxpass.com voor meer informatie.
VPN
Op dit moment is de enige manier om een VPN te laten blijven werken bij een serviceonderbreking van de directory, een back-updirectory of een ander systeem te laten draaien als tweede verificatiemethode.
Aangezien je VPN een van je belangrijkste beveiligingstools is, is het de moeite waard om na te denken over hoeveel bescherming je bereid bent op te offeren om hem gebruiksvriendelijker te maken!
Alles samenbrengen
Testen is een vaak over het hoofd gezien aspect van deze back-upmaatregelen. Door tests uit te voeren kun je je voorbereiden op mogelijke uitval, want als je je niet voorbereidt, kan het herstel van je systeem aanzienlijk vertraging oplopen. Het is aan te raden om elke 3-4 maanden een terugkerende taak in te stellen om ervoor te zorgen dat je back-upsystemen nog steeds goed werken.
Als je de Foxpass-cache gebruikt, kun je op de pagina “Cache” in de console zien wanneer er voor het laatst een synchronisatie is uitgevoerd en of die is geslaagd. Je kunt een host ook rechtstreeks naar je cache verwijzen (waarbij de belangrijkste Foxpass-endpoints worden omzeild) om dubbel te controleren of het authenticatiemechanisme werkt.
Uiteindelijk zal er altijd een delicate balans zijn tussen gebruiksgemak en beveiliging. Hoewel een netwerkdirectory je systemen gemakkelijker toegankelijk en veiliger kan maken, stelt die je systemen ook bloot aan een extra mogelijke oorzaak van downtime.
Het is belangrijk om noodplannen te hebben, zodat je infrastructuur op elke gebeurtenis voorbereid is. Een goede voorbereiding kan het verschil maken tussen een snel herstel en langdurige uitval.
Blijf veilig!
- Het Foxpass-team
Wi-Fi is een handelsmerk van Wi-Fi Alliance®
