unele organizații folosesc încă serverele jump pentru a oferi acces la centrele lor de date și serverele cloud Infrastructure-as-a-Service. Cu toate acestea, pentru multe organizații, există o modalitate mai bună de a oferi acces securizat la infrastructura lor. În acest articol, vom discuta De ce serverele jump sunt o soluție învechită pentru organizațiile moderne DevOps și vom explora modul în care o arhitectură cloud emergentă le poate înlocui și îmbunătăți securitatea.
Jump Servers &Perimeter Security
jump server, sau jump box, a fost un pilon pentru multe organizații IT și echipe DevOps ca o modalitate de a stabili o pâlnie clară prin care traficul a trecut către infrastructura lor. Ideea a fost simplă: desemnați un server ca punct de control și forțați utilizatorii să se conecteze mai întâi la acel sistem. Odată autentificați acolo, aceștia ar putea traversa către alte servere fără a fi nevoie să se conecteze din nou.
această abordare a avut numeroase beneficii, inclusiv ușurința de utilizare după conectare și a ajutat organizațiile să respecte reglementările de conformitate, deoarece acestea ar putea oferi jurnale de audit simple. De asemenea, a fost paralel cu modul în care majoritatea organizațiilor au implementat identity and access management (IAM) în mediile lor. Serverele Jump, cum ar fi controlerele de domeniu Active Directory XV, au permis administratorilor să stabilească un perimetru sigur în jurul resurselor IT. Odată ce utilizatorii se aflau în perimetru, s-au confruntat cu mai puține măsuri de securitate internă.
cu toate acestea, această abordare a expus organizațiile la riscuri enorme. Odată ce un utilizator — sau un actor rău-a încălcat perimetrul, ar putea traversa cu ușurință rețelele și resursele organizației. De exemplu, biroul de management al personalului din SUA a anunțat în 2015 că a suferit una dintre cele mai mari încălcări ale datelor guvernamentale, care a fost rezultatul unui server Jump compromis. După cum a spus Wired într-un postmortem al încălcării: „controlând jumpbox-ul, atacatorii au obținut acces la fiecare colț al terenului Digital al OPM.”
aceste riscuri de securitate, combinate cu natura din ce în ce mai complexă a conductelor moderne CI/CD (integrare continuă, livrare continuă și implementare continuă) și medii hibride, semnalează că serverele jump nu mai sunt cea mai bună modalitate de a asigura accesul utilizatorilor la infrastructură.
noua abordare: arhitectura Domainless
pe măsură ce peisajul IT a evoluat, organizațiile au început să abandoneze conceptul de securitate perimetrală în favoarea unor metode mai dinamice, cum ar fi zero trust security, în care tot traficul de rețea nu este de încredere în mod implicit. O arhitectură cloud emergentă permite organizațiilor să adopte o abordare de încredere zero, să — și sporească flexibilitatea și să acorde permisiuni granulare de acces la server pentru fiecare utilizator-în întregime din cloud.
această arhitectură — care conduce modelul Enterprise fără domenii — este construită în jurul unui serviciu de director cloud. Dintr-un serviciu de director cloud, administratorii pot stabili un canal securizat direct între directorul lor și fiecare server, indiferent de locul în care se află. Acestea pot apoi să furnizeze și să revoce în mod sistematic accesul la acele servere cu permisiuni de acces granulare adaptate rolului fiecărui individ.
această abordare impune utilizatorilor să se autentifice la fiecare resursă IT în mod unic și separat pentru a proteja fiecare punct de acces și pentru a preveni accesul excesiv de larg la resurse. Nu necesită un server jump, un VPN sau orice altă infrastructură locală pentru a oferi acces.
serviciile moderne de directoare cloud pot gestiona, de asemenea, cheile SSH și permit autentificarea cu mai mulți factori (MFA/2FA) pentru a proteja în continuare accesul la servere, precum și pentru a accelera scalarea automată a serverului pentru a menține conductele în funcțiune fără probleme.