egyes szervezetek még mindig használják a jump szervereket, hogy hozzáférést biztosítsanak adatközpontjaikhoz és infrastruktúra-szolgáltatásként működő felhőszervereikhez. Sok szervezet számára azonban van egy jobb módja annak, hogy biztonságos hozzáférést biztosítsanak infrastruktúrájukhoz. Ebben a cikkben megvitatjuk, hogy a jump servers miért elavult megoldás a modern DevOps szervezetek számára, és megvizsgáljuk, hogy egy feltörekvő felhőarchitektúra hogyan helyettesítheti őket és javíthatja a biztonságot.
Jump Servers & Perimeter Security
a jump server vagy jump box számos IT-szervezet és DevOps-csapat támasza volt annak érdekében, hogy tiszta csatornát hozzanak létre, amelyen keresztül a forgalom átment az infrastruktúrájukba. Az ötlet egyszerű volt: Jelöljön ki egy szervert vezérlőpontként, és kényszerítse a felhasználókat, hogy először jelentkezzenek be a rendszerbe. Miután ott hitelesítették, át tudtak lépni más szerverekre anélkül, hogy újra be kellene jelentkezniük.
ennek a megközelítésnek számos előnye volt, többek között a bejelentkezés utáni könnyű használat, valamint a megfelelőségi előírások betartásának segítése, mivel egyszerű naplófájlokat tudtak biztosítani. Ez párhuzamos volt azzal, ahogyan a legtöbb szervezet bevezette az identitás-és hozzáférés-kezelést (Iam) a környezetükben. A Jump kiszolgálók, mint például az Active Directory, lehetővé tették az adminisztrátorok számára, hogy biztonságos kerületet hozzanak létre az informatikai erőforrások körül. Miután a felhasználók a kerületen belül voltak, kevesebb belső biztonsági intézkedéssel szembesültek.
ez a megközelítés azonban a szervezeteket is óriási kockázatoknak tette ki. Ha egy felhasználó — vagy egy rossz szereplő-átlépte a kerületet, viszonylag könnyedén áthaladhatott a szervezet hálózatain és erőforrásain. Például az Egyesült Államok Személyzeti Menedzsment Hivatala 2015-ben bejelentette, hogy a kormány egyik legnagyobb adatsértését szenvedte el, amely egy kompromittált ugrószerver eredménye volt. Ahogy a Wired a behatolás utáni halálba tette: “a jumpbox irányításával a támadók hozzáférést kaptak az OPM digitális terepének minden zegzugához.”
ezek a biztonsági kockázatok, a modern CI/CD csővezetékek (folyamatos integráció, folyamatos szállítás és folyamatos telepítés) és a hibrid környezetek egyre összetettebb jellegével együtt azt jelzik, hogy a jump szerverek már nem a legjobb módja annak, hogy biztosítsák a felhasználók hozzáférését az infrastruktúrához.
új megközelítés: Domainless Architecture
az informatikai környezet fejlődésével a szervezetek elkezdték elhagyni a kerületi biztonság fogalmát olyan dinamikusabb módszerek mellett, mint például a nulla bizalmi biztonság, amelyben az összes hálózati forgalom alapértelmezés szerint nem megbízható. A feltörekvő felhőarchitektúra lehetővé teszi a szervezetek számára, hogy nulla bizalmi megközelítést alkalmazzanak, növeljék rugalmasságukat, és minden felhasználó számára részletes kiszolgálói hozzáférési engedélyeket adjanak — teljes egészében a felhőből.
ez az architektúra — amely a domainless enterprise modellt vezérli — egy felhőkönyvtár-szolgáltatás köré épül. A felhőalapú címtárszolgáltatásból a rendszergazdák biztonságos csatornát hozhatnak létre közvetlenül a könyvtáruk és az egyes kiszolgálók között, függetlenül attól, hogy hol található. Ezután szisztematikusan biztosíthatják és visszavonhatják a hozzáférést ezekhez a szerverekhez, az egyes személyek szerepére szabott részletes hozzáférési jogosultságokkal.
ez a megközelítés megköveteli a felhasználóktól, hogy minden egyes informatikai erőforrást egyedileg és külön hitelesítsenek, hogy megvédjék az egyes hozzáférési pontokat, és megakadályozzák az erőforrásokhoz való túlzott hozzáférést. A hozzáférés biztosításához nincs szükség ugrószerverre, VPN-re vagy bármilyen más helyszíni infrastruktúrára.
a Modern felhőkönyvtár-szolgáltatások az SSH-kulcsokat is kezelhetik, és lehetővé teszik a többtényezős hitelesítést (MFA/2FA) a kiszolgálókhoz való hozzáférés további védelme érdekében, valamint felgyorsítják a szerver automatikus méretezését a csővezetékek zökkenőmentes működése érdekében.