エンドユーザーのデバイスでVPN資格情報を保護する方法

エンドユーザー証明書の整合性とIDを保護するための最良の方法/ソリューションは何ですか？

HSMをデバイスにインストールし、その中に格納されているキーをVPNに使用します。高価でセットアップが難しい。

ユーザーが会社提供のデバイスでのみVPNを使用できることを確認したいと思います。

次に、難しいキーの制御を試みる代わりに、VPNポスチャチェックを使用して、必要なプロファイルに一致しないデバイスを許可しません。 VPNベンダーによっては、これにはドメインメンバーシップと同じくらい明確なものが含まれる場合があります。たとえば、 チェックポイント を使用してこれを行う方法を次に示します。

@gowenfawrの答えは正しいですが、興味深いアイデアをいくつか取り入れたいと思います。クラウドプロバイダーは、必要なものだけを実行するインスタンスを公開しています。

https://Azure.Microsoft.com/en-us/solutions/confidential-compute/

https://aws.Amazon.com/cloudhsm/

これらのプラットフォームはHSMを利用して、データを暗号化するハードウェア内のメモリ内のデータを保護します。他にも同様のクラウドプラットフォームがいくつかありますが、私が最もよく知っているのは2つです。

できません。 VPNが使用可能である必要がある限り、そのように制約するための実行可能な方法はありません。プロファイルまたはデータがディスク上に存在し、外部から、またはブートステージ間で読み取りおよび復号化できる限り、どのような方法でも保護できません。

あなたが得るかもしれない最も近いものは、会社のハードウェア上のMDMのOSレベルのファームウェアですが、これは基本的にGoogleとApple=製品に限定されます。これは、ストレージの外部で暗号を取得できるためですメディアとファームウェアのMDM。これは、ディスクを外部から読み取ることは機能せず、代替OSを使用してシステムを起動することも不可能であることを意味します。これにより、次善の策としてバグとエクスプロイトが残ります。

私はポスチャチェック（つまり、osqueryまたは独自のシステムを使用）とMFA、できればハードウェアベース（u2fまたはsmarcardまたはyubikeyなど）を使用し、セッションを1に制限します。これでも、誰かがラップトップを共有するのを妨げることはありません。トークンとクレジットなので、覚えておいてください。

@ MechMK1は完全に正しいです。あなたは、ポリシーの問題に対する技術的な解決策を探しています。それは、それを実現することができても、めったにあなたが望むものではありません。私はまた、なぜ政策が必要だとあなたが思うのかについて、長くそして一生懸命考えます。考えられる悪い理由はたくさんありますが、良い理由はほんのわずかです。結局のところ、VPNはレイヤー3ソリューションであり、レイヤー3の問題を解決するのに最適です。

たとえば、ユーザーのパーソナルマシンがネットワーク上の他のマシンに害を与える可能性のあるウイルスに感染しているのではないかと心配している場合は、レイヤー7のレイヤー7の問題を解決しようとしています。何らかの理由で、ネットワークの外部ではなく内部からのウイルスに対してより脆弱です。ネットワークセグメントの存在を、リソースの使用許可と混同しないでください。 Googleはこれを正しく理解しています。他の多くはしません。

また、ユーザーが侵害された個人用マシンを仕事に使用して機密性を侵害するのではないかと心配するかもしれませんが、これもレイヤー3の問題ではありません。企業が管理するマシンへのVPNアクセスを制限することでこのポリシーの目標を達成できる可能性がありますが、それなしでは企業のリソースと通信できないという偶然の副作用としてのみです。ネットワークの事故はセキュリティ機能ではなく解決すべき問題と見なされているという証拠のために、「ハイブリッドクラウド」ソリューションを売り込む多くの企業に目を向けてください。

私は一日中行くことができますが、一般的なポイントは、ポリシーの問題が技術的な解決策にマップされることは決してないということです。見た目は魅力的ですが、毎回足で撃たれることになります。

ただし、教育のために、キーペアをデバイスにバインドすることは、思ったほど難しくありません。企業のデバイスには、おそらくTPMの形式のHSMが含まれている可能性があります。Microsoftは、使いやすいプラットフォーム暗号プロバイダーと仮想スマートカードを提供しています。証明書を要求またはインポートするときに、certutilへのコマンドライン引数を使用してPCPを暗号プロバイダーとして指定できます。これにより、TPMがサポートされていることを除いて、ソフトウェアがサポートする証明書と同様にWindowsが処理する証明書が作成されます。または、tpmvscmgrコマンドを使用して、PINと9ヤード全体の仮想スマートカードを作成できます。これを使用して、証明書をインポートしたり、証明書を要求したりできます。スマートカードを使用する（CryptoAPIを使用する代わりに、独自の暗号化ミドルウェアを使用してカードと直接通信するものでも）。

PCP-backedキーは、TPMのみ（デフォルト）または特定のPCRのセットにバインドして作成できます。セキュアブートのないマシンでは0、2、4、11が必要で、7と11は有効です。セキュアブートを備えたマシン、bitlockerのデフォルトと同じ。 （とはいえ、特定のPCRのセットにバインドするには、Microsoftの TPM Platform Cypto-Provider Toolkit の一部としてのみソースコード形式で配布されたユーティリティをコンパイルする必要があります。個人的には、私は気にしません。 ）TPMアンチハンマリングロジックによって保護される強力なキー保護オプションで高セキュリティを使用する場合は、キーのパスワードを設定することもできます。

一方、仮想スマートカードはPCR値のセットにバインドできませんが、PINがあり、すべてのキーを保護し、簡単に変更できます）（異なるキーに異なるPINが必要な場合は、複数のVSCインスタンスを作成します。）

そうは言っても、キーをエクスポート不可としてマークするだけでおそらくうまくいくでしょう。 TPMキーのように抽出することは不可能ではありませんが、おそらく「十分」であり、間違いなく最も簡単に実装できます。