Преимущества безопасности SSH jumphost / jumpserver
Я хочу узнать больше об усилении защиты веб-серверов и в настоящее время остановился на теме Jumphost. Поэтому для меня кажется, что Jumphost, например, подключен к веб-серверу через VPN и единственный сервер, который получает доступ через VPN и SSH внутри VPN, поэтому любой другой запрос с неизвестным IP через SSH или VPN блокируется, например, через iptables .
Правильно ли я понимаю концепцию Jumphost или есть другие преимущества, о которых я должен позаботиться?
Jumphosts - это машины-"шлюзы" из белого списка, которые имеют привилегии доступа к определенным службам. С их помощью вы можете достичь своей цели. Все остальное является деталями реализации.
Вы можете создавать jumphosts, используя прокси, ssh, vpn или любую их комбинацию.
Очень простая конструкция jumphosts может быть реализована с использованием ssh-порта вперед.
.Прыжковый хост является скорее шлюзом в безопасную сеть, чем сама функция безопасности. Если у вас есть, например, машина с сервером баз данных, то у вас может быть брандмауэр, доступный не из Интернета, а только с ваших серверов, которые его используют. Когда вам нужно подключиться к нему, вы сначала переходите на какой-нибудь "jumphost", а затем "прыгаете" оттуда на сервер базы данных. "jumphost" может быть просто веб-сервером, который имеет как открытый для Интернета ssh, так и доступ к локальной сети сервера баз данных или даже к выделенной машине с дополнительными журналами аудита и более безопасной конфигурацией, т.е. с включенным fail2ban.
Таким образом, в целом, "jump host" не является функцией безопасности, а является точкой входа в безопасную сеть. Как сказал Джейкоб Эванс (Jacob Evans), у вас есть дополнительная защита по неясности, что кто-то, получивший доступ к вашему "прыжку", может быть не в состоянии найти то, что будет следующим прыжком. Хотя это, безусловно, помогает, когда кто-то зашел так далеко, вам лучше обезопасить свою сеть таким образом, чтобы никто не смог взломать первый узел, в любом случае
.Серверы Jumphosts aks Bastion являются частью подхода "безопасность по неизвестности", они обычно являются частью инфраструктуры, но за пределами предполагаемого вектора прикрепления. Для вашего примера использования веб-хостов, все веб-хосты будут принимать запросы только через список определенных серверов, веб-хосты легко найти в Интернете, так как они раскрывают порты и хостовые сервисы, как веб-сайт. Единственной целью Jumpbox является обеспечение доступа к этим веб хостам, а НЕ к публичным сервисам.
Кроме того, jumpbox обычно более безопасен с многофакторной аутентификацией в форме Google Auth/Password/Kerberos Ticket/One Time Password/CAC и т.д. Также обычно веб-серверы не должны иметь доступ в Интернет и не имеют прямого доступа через Интернет (только за компенсатором нагрузки), так что вы ЗАМЕЧАТЕЛЬНО получили jump box для доступа к ним.
Другим примером может служить использование dial-up модема для доступа к маршрутизатору, внеполосный доступ с помощью номера телефона, который не указан на странице контактов компании.
См. больше вопросов о бастионных хостах на SecurityExchange