Должен ли я использовать VPN для доступа к моей сети в облаке? До сих пор я просто подключался по SSH к нужному мне серверу. Однако теперь я хочу изолировать разные части моей сети.
Является ли стандартной практикой использование VPN для доступа к необходимой части моей сети? Насколько я понимаю, SSH безопасен, но использование SSH усложнило бы мои правила сетевой безопасности, потому что мне нужно было бы разрешить доступ с любого IP-адреса на порт 22. -> Но, очевидно, настройка VPN - это большая дополнительная сложность.
Хотя SSH считается безопасным, в этом есть большой смысл. Вероятно, вы все равно не хотите, чтобы ваши внутренние серверы (БД, файловые серверы, CI / CD и т. Д.) Были общедоступными. Итак, я предполагаю, что у вас либо уже есть частная сеть для вашего бэкэнда, либо вы получите ее в долгосрочной перспективе. Поскольку в этот момент у вас будут серверы, доступные только через частную сеть, вам понадобится какой-то способ подключиться к этим серверам.
Один способ - создать VPC, другой - создать хост-бастион SSH, который ничего не делает, кроме запуска SSH. Этот бастионный хост или сервер перехода будет общедоступным, но также будет подключен к частной сети. Затем вы можете использовать пересылку SSH, чтобы использовать этот хост для подключения ко всем другим хостам в частной сети.
Вы можете использовать туннелирование SSH или пересылку агента SSH. У AWS есть сообщение об этом в блоге. Вот его суть:
ssh –A user@<bastion-IP-address or DNS-entry>ssh user@<instance-IP-address or DNS-entry>Таким образом, все закрытые ключи SSH останутся на вашем компьютере, вам не нужно размещать их на хосте-бастионе.