È una buona pratica usare i certificati come mezzo di identificazione del cliente in un ambiente cloud

Naviga le tue risposte
4

Il mio sistema software sta eseguendo un'infrastruttura cloud dove avere macchine Linux VPN nel gateway OpenVPN è un requisito di installazione. Inoltre, potrebbero esserci casi in cui il software sulle macchine Linux sopra menzionate potrebbe dover accedere all'infrastruttura cloud quando non è collegato a VPN nel gateway.

Durante l'installazione del gateway OpenVPN, ho creato un'autorità di certificazione locale (tramite easy-rsa) per emettere certificati client per OpenVPN per crittografare il traffico con e autenticare.

Ora ho bisogno di identificare in generale un computer client che si connette al mio back-end Node.js (o qualsiasi altro). Mi chiedo se potrei usare i certificati emessi OVPN per questo. Se il client che si connette a un back-end può presentare un certificato, allora so chi sono e servirà le risorse richieste.

È una buona pratica farlo? Il contrario sarebbe lasciare i certificati OpenVPN e avere solo un altro livello di autorizzazione per le macchine client, ma sembra essere un po 'una duplicazione dato che ho già una CA e dei certificati sul lato client.

    
posta Maxim V. Pavlov 24.08.2015 - 12:32
fonte

2 risposte

1

Non una risposta completa, ma un'altra cosa a cui pensare: con un sistema del genere il modo più semplice per un utente malintenzionato di accedere (ovvero il link più debole) è rubare le chiavi private a uno di quei certificati client. Cose a cui pensare:

  • Le macchine Linux sono fisicamente sicure o lasciano l'edificio (ad es. computer portatili)?
  • Hai buone politiche per la revoca dei certificati - sia il software che i lati umani? Ad esempio, se un certificato è stato compromesso come sopra, quante ore in media fino a quando non verrebbero notificate e revocate?

Suppongo che queste preoccupazioni non siano esclusive dell'autenticazione basata sui certificati, ma qualsiasi cosa in cui le chiavi di autenticazione sono memorizzate sul lato client avrà gli stessi problemi.

    
risposta data 24.08.2015 - 15:11
fonte
1

Potrebbe non essere la soluzione migliore perché stai utilizzando una CA specifica (nel qual caso, autenticando i tuoi client OpenVPN) per qualcos'altro, ma per quanto riguarda la sicurezza, finché la CA è sicura, la tua soluzione va bene .

Raccomando comunque di mettere la chiave privata di quel certificato CA in un posto sicuro, come una smartcard, un computer completamente offline o un HSM.

    
risposta data 24.08.2015 - 14:30
fonte

Leggi altre domande sui tag

È una buona o una cattiva pratica falsificare il programma utente? Confronto tra i venditori 2FA