Tenemos muchos proveedores (instalaciones de producción) que quieren controlar de forma remota su equipo.
La mayoría usan pequeños dispositivos VPN en su armario, como IXON, eWon, Cisco Meraki o Secomea.
Estamos acostumbrados a darles acceso a Internet a estos dispositivos para que puedan acceder a su infraestructura interna detrás del dispositivo.
¿Cuáles son sus mejores prácticas para hacer esto de forma segura? ¿Tiene una VLAN específica para almacenar estos dispositivos VPN?
De hecho, poner el equipo junto con su dispositivo VPN en una VLAN separada (y configurar ACLs apropiadas) es la forma correcta de hacerlo.
Mi opinión…
VLAN dedicada con reglas explícitas de enrutamiento de salida para bloquear todo excepto los destinos en la lista blanca nominados por el proveedor (idealmente, una sola IP o destino Host)
Enrutamiento intra-VLAN solo a los hosts explícitos que han sido nominados por el negocio.
Evidencia adicional del proveedor para proporcionar copia del seguro cibernético actual y la última evaluación de seguridad.
Donde sea posible, solicite que transmitan los syslog del(de los) dispositivo(s) local(es) a su SIEM (suposición: ya estará monitoreando su syslog de infraestructura de red).
Al menos: en su propia VLAN con reglas de firewall para permitir solo el tráfico esencial requerido.
Idealmente: en su propio VRF para aislar completamente de la red más amplia.
Subred aislada, las cuentas de proveedor se activan según sea necesario.