Některé organizace stále používat jump servery poskytují přístup k jejich datových center a Infrastruktury-as-a-Service cloud servery. Pro mnoho organizací však existuje lepší způsob, jak zajistit bezpečný přístup k jejich infrastruktuře. V tomto článku budeme diskutovat o tom, proč jsou servery jump zastaralým řešením pro moderní organizace DevOps, a prozkoumáme, jak je může vznikající cloudová Architektura nahradit a zlepšit zabezpečení.
Jump Servery & Zabezpečení
jump server, nebo skočit box, byl oporou pro mnohé organizace a DevOps týmům jako způsob, jak vytvořit jasný trychtýř, přes který provoz předán do jejich infrastruktury. Myšlenka byla jednoduchá: určit jeden server jako kontrolní bod a přinutit uživatele, aby se nejprve přihlásili do tohoto systému. Po ověření tam mohli přejít na jiné servery, aniž by se museli znovu přihlašovat.
Tento přístup měl řadu výhod, včetně snadné použití po přihlášení, a podporované organizace při plnění dodržování předpisů, protože by mohly poskytnout jednoduché auditní záznamy. Rovněž paralelně s tím, jak většina organizací implementovala správu identit a přístupu (iam) ve svých prostředích. Jump servery, jako řadiče domény Active Directory®, umožnily správcům vytvořit bezpečný obvod kolem zdrojů IT. Jakmile byli uživatelé uvnitř perimetru, čelili méně vnitřním bezpečnostním opatřením.
tento přístup však také vystavil organizace obrovským rizikům. Jakmile uživatel — nebo špatný herec-pronikl do obvodu, mohli relativně snadno procházet sítěmi a zdroji organizace. Například americký Úřad pro personální řízení v roce 2015 oznámil, že utrpěl jedno z největších vládních narušení dat, které bylo výsledkem kompromitovaného serveru jump. Jako Pevné dát do posmrtné porušení: „Tím, že řídí jumpbox, že útočníci získali přístup do každou skulinu OPM digitální terén.“
Ty bezpečnostní rizika, v kombinaci s čím dál složitější povahy moderních CI/CD potrubí (kontinuální integrace, kontinuální dodávky, a kontinuální nasazení) a hybridní prostředí, signál, že jump servery jsou již nejlepší způsob, jak zajistit přístup uživatelů k infrastruktuře.
Nový Přístup: Domainless Architektury
Jako JE krajina vyvíjela, organizace začaly opustit koncept zabezpečení ve prospěch více dynamické metody, jako nulový bezpečnost důvěry, v níž jsou všechny provoz v síti není důvěryhodný ve výchozím nastavení. Vznikající cloudová architektura umožňuje organizacím přistupovat s nulovou důvěrou, zvýšit jejich flexibilitu a udělit každému uživateli granulární přístupová oprávnění k serveru-zcela z cloudu.
tato architektura-která řídí podnikový model bez domény-je postavena na cloudové adresářové službě. Ze služby cloud directory mohou administrátoři vytvořit zabezpečený kanál přímo mezi svým adresářem a každým serverem, bez ohledu na to, kde se nachází. Oni pak mohou systematicky poskytovat a zrušit přístup na tyto servery s granulární přístupová oprávnění na míru každého jednotlivce úlohu.
tento přístup vyžaduje, aby se uživatelé autentizovali ke každému zdroji IT jedinečně a samostatně, aby chránili každý přístupový bod a zabránili příliš širokému přístupu ke zdrojům. K zajištění přístupu nevyžaduje jump server, VPN ani jinou místní infrastrukturu.
Moderní cloudové adresářové služby, můžete také spravovat SSH klíče a povolit multi-faktor autentizace (MFA/2FA) dále chránit přístup k serverům, stejně jako urychlit server auto-škálování aby potrubí běží hladce.