Ansible 経由で 3 つの DevOps を含む、現在 90 台を超える複数のサーバーを管理しています。すべて順調に動作していますが、現在、セキュリティ上の大きな問題があります。各 DevOps は、独自のローカル SSH キーを使用してサーバーに直接アクセスしています。各 DevOps はラップトップを使用しており、各ラップトップが侵害される可能性があり、その結果、本番サーバーのネットワーク全体が攻撃にさらされる可能性があります。
アクセスを集中管理し、特定のキーへのアクセスをブロックするソリューションを探しています。Bitbucket や github にキーを追加する方法と似ています。
すぐに思いつく解決策は、ゲートウェイである 1 台のマシンから目的の prod サーバーへのトンネルです。ゲートウェイを通過するときに、リクエストは新しいキーを取得し、それを使用して prod サーバーにアクセスします。その結果、ゲートウェイへのアクセスを拒否するだけで、数秒以内にあらゆる DevOp のアクセスを迅速かつ効率的に停止できます。
これは良い論理でしょうか? この問題を阻止する解決策をすでに見たことがある人はいますか?
答え1
これは複雑すぎます (キーが特定の本番サーバーにアクセスできるかどうかを確認する)。ゲートウェイ サーバーを、すべての有効なキーを受け入れるジャンプ ホストとして使用し (ただし、特定のキーへのアクセスを簡単に削除できるため、すべてのサーバーへのアクセスが順番に削除されます)、許可されたキーのみを各サーバーに追加します。その後、ジャンプ ホスト経由でのみすべてのサーバーの SSH ポートにアクセスできることを確認します。
これが標準的なアプローチです。
答え2
開発/テスト環境でない限り、エンジニアはラップトップから直接 Ansible を実行すべきではありません。
代わりに、git から Runbook を取得する中央サーバーを用意します。これにより、追加の制御 (4 つの目、コード レビュー) が可能になります。
これを要塞またはジャンプホストと組み合わせて、アクセスをさらに制限します。
答え3
Netflix はあなたの設定を実装し、その状況を改善するための無料ソフトウェアをリリースしました。
このビデオを見るhttps://www.oreilly.com/learning/how-netflix-gives-all-its-engineers-ssh-accessまたはこのプレゼンテーションhttps://speakerdeck.com/rlewis/how-netflix-gives-all-its-engineers-ssh-access-to-instances-running-in-production核心となるポイント:
SSH 要塞アーキテクチャを確認します。このアーキテクチャは、基本的に SSO を使用してエンジニアを認証し、要塞からインスタンスへの SSH 認証用に、ユーザーごとに有効期間の短い証明書の資格情報を発行します。これらの有効期間の短い資格情報により、資格情報の紛失に伴うリスクが軽減されます。このアプローチにより、アクセスを許可する前にエンジニアの作業を遅らせることなく、事後に監査して自動的に警告する方法を説明します。
彼らのソフトウェアはここから入手できます:https://github.com/Netflix/bless
ソリューション全体を実装しない場合でも、興味深い情報が得られます。
- 鍵だけではなくSSH証明書を使用するため、証明書により多くのメタデータを入れることができるため、要件ごとに多くの制約を適用でき、監査も簡単になります。
- 非常に短い期間(5分など)の証明書の有効期間を使用する(証明書の有効期限が切れた後もSSHセッションは開いたままになります)
- 2FAを使用するとスクリプトの作成が困難になり、開発者は他の解決策を見つける必要がある。
- 特定のサブモジュールは、インフラストラクチャの外部にあり、クラウドが提供するセキュリティメカニズムによって適切に保護されており、各開発者が任意のホストにアクセスできるように証明書を動的に生成します。
答え4
OneIdentity (旧 Balabit) SPSまさにこのシナリオに必要なものです。このアプライアンスを使用すると、基本的にどのマシンでもユーザー ID を管理し、ユーザーの行動を追跡し、監視と警告を行い、後で確認できるようにユーザーの行動をインデックス化することができます。