Riadenie prístupov pre dodávateľov
Pri riadení prístupov nezabúdajte ani na vašich dodávateľov. Ak potrebujú mať dodávatelia prístup do vašej infraštruktúry, musí byť jasne limitovaný len na to, čo majú v infraštruktúre urobiť. Dobrou praxou je preto dodržanie týchto zásad:
- bezpečný kanál: nikdy nesprístupňujte svoju infraštruktúru “vystavením” portu na priamu správu (SSH, RDP). Používajte VPN produkty, ktoré implementujú silné šifrovanie.
- osobná zodpovednosť: miesto generických účtov s menom organizácie vydávajte individuálne účty pre všetkých zástupcov dodávateľa. Každá osoba musí byť pri odovzdávaní prístupov poučená a podpísať súhlas s podmienkami použitia.
- každý používateľ musí byť v sieti jednoznačne identifikovateľný (či už priamo identitou alebo IP adresou). Neodporúča sa preto používať vo VPN rozsahu dynamicky prideľované IP adresy.
- pripojený dodávateľ musí mať prístup výlučne do systémov, kam potrebuje. To je možné dosiahnuť kombináciou dvoch faktorov:
- sieťové spojenia dodávateľa musia byť limitované len na cieľové IP adresy, ktoré potrebuje ku svojej práci, na sieťových firewalloch,
- cieľové servery musia byť umiestnené v izolovanom sieťovom segmente, v ktorom sa nenachádzajú iné zariadenia. To zabezpečí, že prípadný útočník, zneužívajúci prístup dodávateľa, nebude mať možnosť laterálneho šírenia.
- prístupy nastavte len na obmedzený čas – ak dodávateľ do siete nemusí pristupovať, tak mu prístup vypnite a zapínajte ho len vtedy, keď je to potrebné. Jednoduchý spôsob, ako to dosiahnuť, je nasledovný:
- naviažte VPN identity napríklad na účty v internej LDAP databáze,
- účty držte štandardne “exspirované”,
- na jednotlivú žiadosť dodávateľa o otvorenie prístupu predĺžte konkrétnemu účtu platnosť o čas potrebný na úkon, nikdy však viac ako je horná hranica, stanovená politikou (napríklad jeden alebo dva týždne). Takto sa po uplynutí nastavenej doby účet opäť stane neaktívnym bez nutnosti akéhokoľvek zásahu administrátorov.
- monitorujte aktivitu dodávateľa a aktivitu na vzdialene spravovaných serveroch, pomocou vhodne nastavených firewallových politík. Pokus o prístup na iné ako povolené IP adresy by mal byť zachytený a používateľský účet až do vyšetrenia deaktivovaný,
- VPN koncentrátor samotný musí mať vždy aplikované najnovšie bezpečnostné záplaty a má byť umiestnený v samostatnom sieťovom segmente, oddelene od sieťového firewallu. To zabezpečí, že aj v nahoršom prípade kompromitácie tohto zariadenia sa útočník dostane len tam, kam by sa dostali jednotliví dodávatelia.