post

¿Cómo anda la seguridad en el home office de sus proveedores? P3

Siguiendo con esta lluvia de ideas publica sobre el cómo evaluar la seguridad en los entornos de home office de nuestros proveedores nos adentramos un poco en cuestiones de controles de seguridad.

Seguridad a nivel solución de acceso remoto

Siguiendo la lógica planteada en la guía del NIST he generado el siguiente mapa mental con los elementos que planeo estar tomando en cuenta en mi propuesta:

Sin entrar en demasiado detalle hablemos de cada una de los segmentos. Empezando por el servidor de acceso remoto.

La seguridad de los servidores de acceso remoto, como tal debemos considerar los mismos controles base que en otros servidores de nuestra infraestructura:

    • Configuration baselines
    • Patching
    • Vulnerability Scanning
    • Anti-virus
    • Un solo propósito – Nada de servidores de FTP, Acceso remoto, Correo electrónico en un solo xD

Adicionalmente, es importante que busquemos entender la conectividad del servidor y la solución de acceso remoto en cuestión. La lógica es que dichos servidores sea ubicados en el perímetro de nuestra red, de preferencia en una DMZ. De no ser posible lo anterior habrá que considerar severas restricciones en el tráfico para que sea el mínimo necesario.

¿Y qué hay de los controles de acceso?

Por supuesto, la autenticación del usuario deberá suceder a nivel servidor de acceso remoto y debemos considerar al menos los siguientes controles:

    • Multi-factor authentication
    • Cierra de sesión por inactividad
    • Autenticación mutua

¿Y qué hay de la autorización? La misma se debe ejecutar antes de que se le permita al usuario ya autenticado acceder a cualquier recurso. Algunas cuestiones que se pueden considerar:

  • Health-checks o posture check para validar el cumplimiento de ciertos controles en el dispositivo del usuario final
    • Firmas de antivirus actualizadas
    • Estatus de los parches
    • Root o Jailbreak para el caso de dispositivos móviles
  • Acceso limitado a recursos en caso de autorización fallida

¿Y de cifrado no vas a hablar? Claro que sí, ese tema junto a otras cuestiones de seguridad en el dispositivo de usuario queda para la 4ta y última parte.

¡Hasta pronto!

Leave a Reply

Your email address will not be published. Required fields are marked *