web-dev-qa-db-ja.com

セキュリティのためのジャンプサーバー

私のネットワークでは、クライアントをサーバーに直接接続しています。しかし、新しいPCIポリシーでは、ジャンプサーバーを使用する必要がありました。

  • セキュリティ上の理由でジャンプサーバーを使用する利点は何ですか?
  • ジャンプサーバーで2要素認証を使用するにはどうすればよいですか?
  • ジャンプサーバーに仮想マシンが必要なのはなぜですか?
6
Hamawand

セキュリティ上の理由でジャンプサーバーを使用する利点は何ですか?

Jumpサーバー、より正確には要塞ホストは、ターゲットネットワークとユーザーの間に分離レイヤーを提供します。データベースサーバー、アプリケーションサーバー、HSMまたはNAE for PCI、および監視システムを備えたネットワークについて考えます。要塞ホストがない場合、これらのシステムのメンテナンスと監視のためにこれを公開する必要があります。要塞ホストは、ユーザーがこれらのシステムにアクセスするための監査可能なレイヤーを提供します。また、職務の分離も提供します。 Devopsはサーバーにアクセスする必要がありますが、マーケティングは通常アクセスする必要はありません。

要塞ホストなしの次の基本的なネットワーク図を見てください。

Without Bastion Host

ネットワーク上のすべてのユーザーは、そのネットワーク内の任意のサーバーにアクセスでき、攻撃する可能性があります。しかし、要塞ホストを使用することで、コントロールを配置できます。

With Bastion Host

ジャンプサーバーで2要素認証を使用するにはどうすればよいですか?

TOTPでlibpamと設定を確認してください。

ジャンプサーバーに仮想マシンが必要なのはなぜですか?

彼らはしません。

10
h4ckNinja
  • セキュリティ上の理由でジャンプサーバーを使用する利点は何ですか?

    これについての私の理解は、一般的に、攻撃対象を最小限に抑え、攻撃を困難にすることです。これは、IPをホワイトリストに移動できるためです(ジャンプボックスをホワイトリストに追加できます)。これは基本的に、サーバーと通信するために認証を要求するようなものです。

  • ジャンプサーバーで2要素認証を使用するにはどうすればよいですか?

    これは、サーバーへの接続方法によって異なります。sshを使用するとします。この場合、いくつかのツールがあります。良いものの1つはgoogleオーセンティケーターです。「libpam-google-authenticator」と呼ばれるLinuxパッケージがあります。

  • ジャンプサーバーに仮想マシンが必要なのはなぜですか?

    その理由は、ユーザーをよりよく追跡し、一般的にはユーザーを封じ込めることで、みんなのジャンプボックスに対して悪意のある行為を行うことができないためだと思います。

1
Nick Mckenna

2FAについては、pam-radiusを使用することをお勧めします。これは、プロセスを既存のIDインフラストラクチャに結び付けて、承認と認証を分割できるためです。たとえば、ADを使用する場合は、MS radiusプラグインNPSを設定できます。これにより、ADで認証が行われ、認証がサードパーティの2FAサーバーに渡されます。

こちらのすべてのpam-radiusチュートリアルをご覧ください(この会社で働いています): https://www.wikidsystems.com/support/how-to/keyword/pam-radius/

個別のIDサイロを作成しないことに加えて、Google認証システムの使用に関する他の懸念があります: https://www.wikidsystems.com/blog/5-issues-enterprises-should-consider-before-using-google -authenticator-for-ssh /

0
nowen