Безопасность серверов Ansible

Итак, Ansible - БОЛЬШАЯ вещь на данный момент, наряду с другими решениями для управления конфигурацией, такими как Puppet, SaltStack и так далее. В моей компании мы управляем более чем 500 серверами, и некоторые ребята внедряют решение Ansible, чтобы минимизировать накладные расходы на управление конфигурацией.

Каким бы я ни был параноиком, я начал думать о том, что на самом деле можно сделать с сервера Ansible, если кто-то не в своем уме.

Я искал в Интернете лучшие практики по усилению безопасности на серверах Ansible и в основном нахожу статьи о том, как Ansible можно использовать для защиты других серверов (очевидно), а также нахожу общие рекомендации по усилению защиты сервера Linux, поскольку Ansible работает в Linux. Это заставило меня подумать, что общая идея централизованного сервера управления конфигурацией сопряжена с некоторыми рисками; разве я, как хакер или недовольный сотрудник, иметь возможность запускать команду rm -rf / на всех серверах или аналогичных с использованием сервера Ansible?

Как правило, я бы предположил, что при наличии сегментированной сети, где test, dev, pre-prod , и prod недоступны друг для друга, это будет означать, что у вас ВСЕГДА будет установлен сервер Ansible для каждой из этих сред, поэтому у вас нет сервера, на котором брандмауэр разрешает доступ ко всем системам. Я полагаю, что, по крайней мере, это здравый смысл.

Тем не менее, идея сервера, который может настраивать ВСЮ СЕТЬ серверов, безумна, если вы думаете о том, кому не положено получить доступ к серверу Ansible.

Будет можно создать какой-то MFA, который срабатывает до запуска команд, или сервер Ansible не сможет создавать свои собственные playbooks, У меня есть VNET1 в AustraliaEast и VNET2 в SouthEastAsia, успешно создал VPN ...

Обучение на скорости в миллион миль в час здесь, тестирование Route vs Policy VPNs в MSDN в рамках подготовки к большому рывку.

У меня VNET1 в AustraliaEast и VNET2 в SouthEastAsia, успешно создали VPN между ними и подтвердили использование хостов в обоих.

Я также смоделировал OnPrem-To-Azure S2S VPN с помощью StrongSwan. Я считаю, что я настроил его так, чтобы он знал об обоих диапазонах IP-адресов VNET;

rightsubnet=10.61.200.0/22,10.65.200.0/22

...

Security Associations (1 up, 0 connecting):
   azure[1]: ESTABLISHED 35 minutes ago, 192.168.1.1[LocalIP]...X.X.X.X[AzureIP]
   azure{1}:  INSTALLED, TUNNEL, ESP in UDP SPIs: c62f3c80_i 2ba5c8c0_o
   azure{1}:   0.0.0.0/0 === 10.61.200.0/22 10.65.200.0/22 

Я могу успешно проверить связь с диапазоном VNET1, который имеет шлюз виртуальной сети, к которому я подключился. Я надеялся (при условии?), Что я также смогу проверить связь с VNET2, но я не могу: Мы хотели бы модерировать такие будущие сообщения таким образом, чтобы любое из полей Кому , Копия или Скрытая копия содержало более 50 (или 100, 200. ..) получателей, чтобы сообщение было отправлено на модерацию.

Можно ли создать такое правило потока почты в Exchange и как?

Я уже знаю, что могу ограничить максимальное количество получателей для одного сообщения, но это не решает проблему, поскольку пользователь может разбить свое сообщение на несколько массовых рассылок.