Nella mia rete, ho i client direttamente connessi al server; ma nelle nuove policy PCI, richiedevano l'uso dei jump server.
What is the advantage of using jump servers for security reasons?
I server di salto o, più precisamente, gli host bastione, forniscono uno strato di separazione tra la rete di destinazione e l'utente. Considera una rete con server di database, server di applicazioni, un HSM o NAE per PCI e sistemi di monitoraggio. Senza un host bastion, questo deve essere esposto per la manutenzione e il monitoraggio di questi sistemi. L'host bastion fornisce uno strato verificabile per consentire agli utenti di accedere a questi sistemi. Fornisce anche una separazione dei compiti. Devops dovrà accedere ai server, ma in genere il marketing non avrà bisogno di accesso.
Guarda questo diagramma di rete di base senza un host di bastion:
Qualsiasiutentesullaretepuòaccedereepotenzialmenteattaccarequalsiasiserverinquellarete.Mausandounhostbastion,icontrollipossonoesseremessiinposizione:
How can I use two-factor authentication with jump servers?
Verifica libpam e configurazione con TOTP.
Why do jump server need virtual machines?
Non lo fanno.
Qual è il vantaggio dell'utilizzo di server jump per motivi di sicurezza?
La mia comprensione di questo è che, in generale, ti permette di minimizzare la superficie di attacco rendendo così un attacco più difficile. Questo perché puoi spostarti verso la lista bianca ips (puoi bianco elencare le caselle di salto). Questo sarebbe essenzialmente come richiedere l'autenticazione per avere qualsiasi comunicazione con i server.
Come posso utilizzare l'autenticazione a due fattori con i server di salto?
Dipende da come ti connetti al server, assumiamo ssh nel qual caso ci sono alcuni strumenti per questo. Uno dei migliori è google authenticator, c'è un pacchetto per Linux che penso si chiami "libpam-google-authenticator"
Perché i server jump hanno bisogno di macchine virtuali?
Credo che la ragione di ciò sia che ti permette di tenere traccia degli utenti meglio e in generale li contengo in modo che non si possano fare cose dannose alla jump box di tutti.
Come per la 2FA, raccomando di usare pam-radius, perché puoi collegare il processo alla tua infrastruttura di identità esistente e dividere autorizzazione e autenticazione. Ad esempio, se si utilizza AD, è possibile impostare il plug-in NPS per il raggio MS e eseguirà le autorizzazioni in Active Directory e se tale autenticazione passa a un server 2FA di terze parti.
Vedi tutti i tutorial di pam-radius qui (lavoro per questa azienda): link .
Oltre a non creare un silo di identità separato, ci sono altre preoccupazioni sull'utilizzo di Google Authenticator: link .
Leggi altre domande sui tag server usability network vmware multi-factor