Il nostro sistema aziendale sarebbe più sicuro usando una VPN?

Naviga le tue risposte
3

Attualmente sto costruendo un sistema di back-office per la nostra azienda [per uso interno] che gestirà i nostri clienti, account ecc. (non sono interessato a non reinventare i commenti delle ruote oggi, grazie!). Sto costruendo il sistema su uno stack LAMP che verrà eseguito su un server in-house (con backup off site, ecc.).

Questa potrebbe essere una domanda [davvero] stupida, ma vogliamo che il nostro sistema sia disponibile per il personale da remoto, ma un sistema rivolto a Internet sembra un po 'rischioso per qualcosa che conterrà troppi dati importanti. Sarebbe più sicuro per me configurare il server in modo che fosse disponibile solo localmente, il che significa che gli utenti dovrebbero essere connessi alla nostra VPN per accedervi? Se l'ho fatto, oltre a cose come limitare i tentativi di accesso, login multi-stage, ecc., Di quali altre cose devo essere a conoscenza?

    
posta Anonymous 29.05.2012 - 14:15
fonte

2 risposte

6

Assolutamente sì. Se i tuoi utenti sono contenti dello sforzo (minore) aggiuntivo per accedere al servizio, VPN è una grande idea. Richiedere una VPN sarà più sicuro persino di richiedere l'accesso HTTPS al server, perché puoi dire al firewall di bloccare il traffico tutto verso il server dall'esterno, riducendo drasticamente la superficie di attacco.

Ovviamente non dovresti fermarti alla VPN. Dato che questo servizio contiene molti dati importanti, è necessario proteggerli in modo completo. Alcune aree chiave da considerare sono:

  • "Indurire" il / i server / i - disabilitare i servizi non necessari, assicurarsi che il processo di patch sia buono, ecc.
  • Protezione dell'applicazione - Hai già menzionato la configurazione del server per rispondere solo alle richieste locali e limitare i tentativi di accesso: buone idee, fallo. Prendi in considerazione la possibilità di richiedere comunque SSL. Considera due fattori. Utilizzare librerie di sicurezza ben consolidate invece di provare a implementare le proprie. Avere buoni log di controllo.
  • Politiche sicure sull'app - separazione delle mansioni, processi di chiusura dell'account, ecc. Addestrare gli utenti a utilizzare buone password.
  • Non dimenticare che ci sono tre parti della triade della CIA: riservatezza, integrità e disponibilità sono aspetti altrettanto importanti della sicurezza.

Quanto sopra è una panoramica molto schematica. Troverai più informazioni su queste molte aree guardando intorno al sito: e, naturalmente, fai altre domande!

    
risposta data 29.05.2012 - 15:00
fonte
4

Sì, applicare più livelli di difesa come questo fa parte di una strategia di difesa in profondità . Altre cose che vorrei prendere in considerazione sono:

  • Implementazione delle politiche di accesso e controllo, è possibile implementare una forma di autenticazione a due fattori per gli utenti remoti. Ciò contribuirà a garantire che se la password di qualcuno viene compromessa il server non sarà accessibile. Sia che scegliate un sistema di token basato su pin o qualcosa come un Yubikey, questo garantirà l'accesso solo al personale autorizzato.
  • Se si prevede che gli utenti possano accedere al sistema durante l'orario lavorativo regolare, assicurarsi che i tentativi di accesso al di fuori di questo intervallo di tempo siano registrati e controllati.
  • Assicurati che ci sia una buona politica per le password sul posto che sia allineata con la tua organizzazione. Inoltre, le informazioni molto sensibili dovrebbero essere crittografate sulla base di eventuali regolamenti, problemi di conformità che la vostra società dovrà affrontare.
risposta data 29.05.2012 - 14:27
fonte

Leggi altre domande sui tag

È sbagliato raccogliere e archiviare gli indirizzi IP? Se si esegue il cast di un valore è ancora necessario sfuggire a mysqli_real_escape_string ()?