一部の組織では、データセンターやInfrastructure-as-A-Serviceクラウドサーバーへのアクセスを提供するためにjumpサーバーを使用しています。 しかし、多くの組織では、インフラストラクチャへの安全なアクセスを提供するためのより良い方法があります。 この記事では、jumpサーバーが現代のDevOps組織にとって時代遅れのソリューションである理由について説明し、新興のクラウドアーキテクチャがそれらを置き換
Jump Servers&Perimeter Security
jump server、またはjump boxは、トラフィックがインフラストラクチャに渡される明確なファネルを確立する方法として、多くのIT組織やDevOpsチーム 1つのサーバーを制御ポイントとして指定し、ユーザーが最初にそのシステムにログインするように強制します。 そこで認証されると、再度ログインすることなく他のサーバーに移動できます。
このアプローチには、ログイン後の使いやすさなど、多くの利点があり、簡単な監査ログを提供できるため、コンプライアンス規制の遵守を支援しました。 また、ほとんどの組織が環境全体でidentity and access management(IAM)を実装する方法と並行していました。 Active Directory®ドメインコントローラのようなジャンプサーバーは、管理者がITリソースの周りに安全な境界を確立することを可能にしました。 ユーザーが境界内にいると、内部のセキュリティ対策が少なくなりました。
しかし、このアプローチはまた、組織に大きなリスクをさらしました。 ユーザーまたは悪いアクターが境界を突破すると、組織のネットワークとリソースを比較的簡単に横断することができます。 たとえば、2015年の米国人事管理局は、ジャンプサーバーの侵害の結果である政府最大のデータ侵害の1つに苦しんでいたと発表しました。 「Jumpboxを制御することで、攻撃者はOPMのデジタル地形の隅々までアクセスできるようになりました。”
これらのセキュリティリスクは、現代のCI/CDパイプライン(継続的な統合、継続的な配信、継続的な展開)とハイブリッド環境のますます複雑な性質と組み合
新しいアプローチ:ドメインレスアーキテクチャ
ITランドスケープが進化するにつれて、組織は境界セキュリティの概念を放棄し始め、すべてのネットワー 新しいクラウドアーキテクチャを使用すると、組織はゼロ信頼アプローチを取り、柔軟性を高め、各ユーザーにきめ細かいサーバーアクセス権限を付与できます。
このアーキテクチャは、ドメインレスエンタープライズモデルを駆動するもので、クラウドディレクトリサービスを中心に構築されています。 クラウドディレクトリサービスから、管理者はどこにあるかにかかわらず、ディレクトリと各サーバーの間に安全なチャネルを直接確立できます。 その後、各個人の役割に合わせた詳細なアクセス許可を使用して、これらのサーバーへのアクセスを体系的に提供し、取り消すことができます。
このアプローチでは、各アクセスポイントを保護し、リソースへの過度に広範なアクセスを防ぐために、ユーザーは各ITリソースに対して一意かつ個別に認証 アクセスを提供するために、ジャンプサーバー、VPN、またはその他のオンプレミスインフラストラクチャは必要ありません。
最新のクラウドディレクトリサービスは、SSHキーを管理し、multi-factor authentication(MFA/2FA)を有効にしてサーバーへのアクセスをさらに保護し、サーバーの自動スケーリングを加速して