¿El sistema de nuestra empresa sería más seguro al usar una VPN?

3

Actualmente estoy creando un sistema de back-office para nuestra empresa [para uso interno] que administrará a nuestros clientes, cuentas, etc. (no está interesado en no reinventar los comentarios de la rueda hoy, ¡gracias!). Estoy creando el sistema en una pila LAMP que se ejecutará en un servidor interno (con copias de seguridad fuera del sitio, etc.).

Esta puede ser una pregunta [realmente] estúpida, pero queremos que nuestro sistema esté disponible para el personal de forma remota, pero un sistema orientado a Internet parece un poco arriesgado para algo que contendrá demasiados datos importantes. ¿Sería más seguro para mí configurar el servidor para que solo esté disponible localmente, lo que significa que los usuarios tendrían que estar conectados a nuestra VPN para acceder a él? Si hice eso, así como cosas como limitar los intentos de inicio de sesión, el inicio de sesión en varias etapas, etc., ¿qué otras cosas debo tener en cuenta?

    
pregunta Anonymous 29.05.2012 - 14:15
fuente

2 respuestas

6

Absolutamente, sí. Si sus usuarios están contentos con el esfuerzo (menor) adicional para acceder al servicio, VPN es una gran idea. Requerir una VPN será más seguro incluso que el acceso HTTPS al servidor, porque luego puede decirle al firewall que bloquee todo el tráfico hacia el servidor desde el exterior, reduciendo drásticamente la superficie de ataque.

Por supuesto, no debes detenerte en la VPN. Dado que este servicio contiene una gran cantidad de datos importantes, querrá asegurarlos de manera integral. Algunas áreas clave a considerar son:

  • "Endurecer" el servidor (es): deshabilite los servicios innecesarios, asegúrese de que el proceso de aplicación de parches sea bueno, etc.
  • Proteger la aplicación: ya mencionó la configuración del servidor para que solo responda a las solicitudes locales y limite los intentos de inicio de sesión; buenas ideas, hágalas. Considere requerir SSL de todos modos. Considere dos factores. Utilice bibliotecas de seguridad bien establecidas en lugar de intentar implementar las suyas propias. Tener buenos registros de auditoría.
  • Políticas seguras en torno a la aplicación: segregación de tareas, procesos de cierre de cuentas, etc. Capacite a los usuarios para que usen buenas contraseñas.
  • No olvide que la tríada de la CIA tiene tres partes: la confidencialidad, la integridad y la disponibilidad son aspectos igualmente importantes de la seguridad.

Lo anterior es una descripción muy incompleta. Encontrará más información sobre estas muchas áreas en el sitio: ¡y por supuesto, haga más preguntas!

    
respondido por el Graham Hill 29.05.2012 - 15:00
fuente
4

Sí, la aplicación de múltiples capas de defensa como esto es parte de una estrategia de defensa en profundidad . Otras cosas que tomaría en cuenta son:

  • Al implementar políticas de acceso y auditoría, es posible que desee implementar algún tipo de autenticación de dos factores para usuarios remotos. Esto ayudará a garantizar que si la contraseña de alguien está en peligro, el servidor no será accesible. Ya sea que elija un sistema de token basado en un pin o algo como un Yubikey, esto asegurará que el acceso solo esté permitido al personal autorizado.
  • Si solo espera que los usuarios accedan al sistema durante el horario comercial regular, asegúrese de que los intentos de acceso fuera de este período de tiempo se registren y se auditen.
  • Asegúrese de que exista una buena política de contraseña que se alinee con su organización. Además, la información muy confidencial se debe cifrar de acuerdo con las regulaciones y los problemas de cumplimiento que enfrentará su empresa.
respondido por el Mark S. 29.05.2012 - 14:27
fuente

Lea otras preguntas en las etiquetas