Я хочу узнать больше об усилении защиты веб-серверов и остановился на теме Jumphost. Поэтому для меня кажется, что Jumphost, например, подключен к веб-серверу через VPN и единственный сервер, который получает доступ через VPN и SSH внутри VPN, поэтому любой другой запрос с неизвестным IP через SSH или VPN блокируется, например, через iptables. .
Правильно ли я понимаю концепцию Jumphost или есть другие преимущества, о которых я должен позаботиться?
Jumphosts - это машины-шлюзы из белого списка, которые имеют право доступа к определенным службам. Используя их, вы можете достичь своей цели. Все остальное - детали реализации.
Вы можете создавать переходы, используя прокси, ssh, vpn или любую их комбинацию.
Очень простой дизайн jumphost может быть реализован с использованием переадресации порта ssh.
Узел перехода - это скорее шлюз в защищенную сеть, чем сама функция безопасности. Если у вас есть, например, компьютер с сервером базы данных, у вас может быть брандмауэр, который недоступен из Интернета, а доступен только с ваших серверов, которые его используют. Когда вам нужно подключиться к нему по ssh, вы сначала отправляете ssh на какой-нибудь jumphost, а затем «перепрыгиваете» оттуда на сервер базы данных. Jumphost может быть просто веб-сервером, который имеет как ssh, открытый для Интернета, так и доступ к локальной сети сервера базы данных, или даже выделенный компьютер с дополнительными журналами аудита и более безопасной конфигурацией с, например, включенным fail2ban.
В общем, узел перехода - это не функция безопасности, а точка входа в защищенную сеть. Как сказал Джейкоб Эванс, у вас есть дополнительная безопасность за счет неизвестности, что кто-то, получивший доступ к вашему хосту прыжка, не сможет определить, какой следующий переход. Хотя это, безусловно, помогает, когда кто-то зашел так далеко, вам лучше защитить свою сеть таким образом, чтобы никто не мог взломать первый хост в любом случае.
Серверы Jumphosts aks Bastion являются частью подхода «безопасность за счет отсутствия безопасности», они обычно являются частью инфраструктуры, но за пределами предполагаемого вектора подключения. В вашем примере использования веб-хостов все веб-хосты будут принимать запросы только через список определенных серверов, веб-хосты легко найти в Интернете, поскольку они предоставляют порты и службы хоста, такие как веб-сайт. Единственная цель Jumpbox - предоставить доступ к этим веб-хостам и НЕ предлагает никаких общедоступных услуг.
Кроме того, Jumpbox-ы обычно более безопасны с многофакторной аутентификацией в формах Google Auth / Password / Kerberos Ticket / One Time Password / CAC и т. Д. Также обычно веб-серверы не должны иметь доступа в Интернет и не доступны напрямую через Интернет (только за балансировщиком нагрузки), поэтому вам НУЖНА прыжковая коробка для доступа к ним.
Другими примерами могут быть использование модема коммутируемого доступа для доступа к маршрутизатору, внеполосный доступ с использованием номера телефона, который не указан на странице контактов компании.
См. Дополнительные вопросы о хозяевах бастиона на SecurityExchange