web-dev-qa-db-ja.com

sshトンネリングは、stunnelではなく、リンク暗号化の問題を解決するためのより簡単な方法ですか?

ベンダーの中間層から Oracleデータベース への暗号化の問題があります。 暗号化されたデータベース接続 を使用でき、90%のケースで実行されています。

私たちのセキュリティチームは、この接続はリンクを経由するため、すべてを安全にする必要があるとアドバイスしています。

1つのデータベースクライアントは、暗号化されたSSL JDBCリンクを使用してアップグレードするように依頼したプロプライエタリベンダーの中間層であり、このスケジュールは2年であるとアドバイスされています。より短い時間枠でセキュリティソリューションを提供する必要があります。

私たちのセキュリティチームは、 stunnel がこの問題の潜在的な解決策になる可能性があるとアドバイスしました。これには、サーバー、サーバー上のキー、およびクライアントをセットアップする必要があります。

Oracleデータベースが実行されているボックスで、ユーザー設定用のキーを使用して、すでに ssh server を実行しています。

Stunnelはsshのパターンを複製しているように私には思えます。

  1. サーバー- stunnelサーバー vssshサーバー
  2. サーバーキーの設定- stunnelキーの設定 vs opensshユーザー サーバーにキーを設定する
  3. client ssh client vs stunnel clientを使用 を使用する

Stunnelは、opensshサーバーをまだ実行していない場合や、別のキー管理システムが必要な場合に役立つことがあります。

今、私は私の分析で何かが欠けているかもしれません。見えない必要なstunnelの機能があるかもしれません。

私の質問は:sshトンネリングは、stunnelよりもリンク暗号化の問題を解決するためのより簡単な方法ですか?


編集

  • このリンクはすでに安全なネットワーク内にあります。公開されていません。しかし、それは金融サービスです。脅威モデルには、ハードシェル、ソフトコア分析が含まれます。ネットワークの内部を信頼していないため、安全なネットワーク内に安全でないリンクを設定するだけでは不十分です。
2
Hawkeye

2つのシステム間にIPSec接続を作成するだけで、ssh/stunnelについて心配する必要はありません。


今日は WireGuard の使用を検討します。セットアップと操作がはるかに簡単です。

3
user9517