A segurança de redes e servidores é vital para a saúde de qualquer empresa, e gerir chaves Secure Shell (SSH) e o acesso a servidores é um dos primeiros passos mais importantes que uma organização pode dar para melhorar a sua segurança. Aqui na Foxpass, ajudamos a gerir centralmente o acesso a servidores (e muito mais) através do nosso serviço de identidade em rede que liga o seu diretório à sua infraestrutura na cloud.
Tal como acontece com qualquer configuração de infraestrutura, a decisão de utilizar um serviço de identidade na cloud como o Foxpass traz consigo tanto vantagens como desvantagens.
Quando funciona bem, um serviço de identidade de rede permite simplificar o controlo de acessos, melhorando tanto a facilidade de utilização como a segurança. O diretório atua como uma única fonte de verdade, eliminando quaisquer lacunas nos seus mecanismos de autenticação.
No entanto, o tempo de inatividade pode ser a maior desvantagem deste tipo de solução. Quando o seu diretório fica indisponível, o acesso a todos os sistemas com os quais o integrou também fica indisponível. Nesse caso, ter uma única fonte de verdade torna-se uma responsabilidade, pois fica-se forçado a escolher entre manter o sistema seguro e esperar que o serviço seja restaurado, ou mantê-lo utilizável e mudar para um método de autenticação menos seguro.
Felizmente, existem formas de mitigar os danos do tempo de inatividade e, ao mesmo tempo, manter a segurança e a usabilidade. Eis algumas medidas que pode tomar para manter o acesso à sua infraestrutura em qualquer cenário:
Linux
O que acontece se for necessário aceder a um host Linux quando ocorre uma paragem inesperada? Uma boa medida de segurança geral para manter o acesso aos hosts Linux em caso de falha é ter um utilizador sudo local em todos os seus hosts.
Primeiro, será preciso usar uma ferramenta de gestão de configuração (como Puppet, Chef ou Ansible) para gerir os administradores nos hosts. Em seguida, armazene a chave SSH protegida por palavra-passe desse administrador num cofre (ou seja, KMS, 1Password, etc.). Idealmente, será importante ter controlos de auditoria nesse acesso à chave para poder ver quem a recuperou e quando.
Além disso, Foxpass oferece uma cache local que pode ser executada num servidor separado. A cache sincroniza-se periodicamente com a nossa base de dados principal, pelo que, em caso de indisponibilidade, os seus servidores utilizarão a cache local para manter o serviço ininterrupto.
Wi-Fi®/RADIUS
Se não for possível contactar o nosso endpoint RADIUS, é útil ter um SSID configurado com WPA2 (palavra-passe partilhada) pronto a ativar. Se estiver a utilizar uma solução de Mobile Device Management (MDM) que permita configurar remotamente as máquinas, pode guardar automaticamente a palavra-passe da rede sem qualquer envolvimento do utilizador final.
Também estamos a trabalhar para adicionar suporte a RADIUS à nossa cache local. Contacte-nos em help@foxpass.com para saber mais.
VPN
Neste momento, a única forma de manter uma VPN a funcionar em caso de interrupção do serviço do diretório é ter um diretório de backup ou outro sistema em execução como segundo método de autenticação.
Como a sua VPN é uma das ferramentas de segurança mais importantes, vale a pena considerar quanta proteção está disposto a sacrificar para a tornar mais fácil de usar!
Juntando tudo
Os testes são um aspeto frequentemente negligenciado destas medidas de cópia de segurança. Executar testes ajuda a preparar-se para potenciais interrupções, pois a falta de preparação pode atrasar substancialmente a recuperação do seu sistema. Recomenda-se configurar uma tarefa recorrente a cada 3-4 meses para garantir que os seus sistemas de cópia de segurança continuam a funcionar corretamente.
Se estiver a usar a cache do Foxpass, pode consultar a página “Cache” na consola para ver a última vez que foi executada uma sincronização e se foi bem-sucedida. Também pode apontar um host diretamente para a sua cache (contornando os principais endpoints do Foxpass) para verificar novamente se o mecanismo de autenticação está a funcionar.
No fim do dia, haverá sempre um equilíbrio delicado entre usabilidade e segurança. Embora um diretório em rede possa tornar os seus sistemas mais fáceis de aceder e mais seguros, também expõe os seus sistemas a uma causa potencial adicional de indisponibilidade.
É importante ter planos de contingência para manter a infraestrutura preparada para qualquer eventualidade. Uma preparação adequada pode fazer toda a diferença entre uma recuperação rápida e interrupções extensas.
Mantenha-se em segurança!
- Equipa Foxpass
Wi-Fi é uma marca registada da Wi-Fi Alliance®
