Да, VPN – это хорошо, но это лишь один уровень защиты. Сначала я использую надежный VPN с двухфакторной аутентификацией – лучше всего, если это провайдер с архитектурой нулевого доверия, который заставляет трафик только к рабочим доменам проходить через туннель. Потом я ставлю сложный пароль на ноутбук и шифрую систему. Ещё использую минималистичный, легкий файрвол, например UFW, и регулярно его обновляю. Что касается программного обеспечения, то все держу в актуальном состоянии, использую надежный антивирус, который работает в фоне, и отключаю автоматическое подключение к Wi-Fi, если не доверяю сети. Рабочую станцию я подключаю к отдельному внешнему SSD с аппаратным шифрованием, подключаю его только в безопасном месте. И всегда делаю свежую резервную копию в облаке, к которому получаю доступ только через VPN. Если я оказываюсь в сомнительной обстановке, переключаюсь на локальную точку доступа и выбрасываю временные данные для Wi-Fi. Это много разных элементов, но как только вы настроите повторяющийся процесс, все становится под контролем.

У меня настроена небольшая автоматическая задача, которая каждый месяц обновляет токен VPN из хранилища секретов. Старый токен я сохраняю в резервной копии на всякий случай, если новый перестанет работать, а новые данные — сразу же выгружаю в GitLab CI, чтобы все скрипты, которым нужен VPN, просто читали переменную окружения. На ноутбуке у меня менеджер паролей, который автоматически генерирует новый пароль при каждом входе, чтобы я никогда не использовал один и тот же. Ну а если нужно быстро вручную обновить, я просто завершаю процесс VPN, подкладываю новый файл ключа, переподключаюсь — и старый ключ больше никогда не используется. Это комбинация автоматизации и привычки не хранить одни и те же данные слишком долго.

Ты права насчёт очистки или шифрования старого токена, я добавлю это в свой скрипт. Просто удалять файл после успешной ротации или шифровать его ключом, который хранится только в HSM. Использование аппаратного HSM для ключей VPN — это следующий уровень безопасности; я присматриваюсь к одной модели, которая подключается через USB и предлагает хранилище ключей, защищённое PIN-кодом. Так секреты вообще не будут храниться на диске ноутбука, только в HSM. Да, это немного больше железа, но для тех мест, где я работаю по слабой Wi-Fi, оно того стоит.

Понял—запихну запасной ключ в ячейку в банке, рядом с паспортом. Спасибо за предупреждение, и хорошей тебе дороги!

Спасибо! Буду начеку и готов к новому. Увидимся на следующей точке.

Буду на месте, защита включена, и кофе свежий, жду, когда Wi-Fi снова вырубится. Скоро увидимся!

Отлично, я уже запускаю логи и варю кофе. Увидимся на следующей точке.