誰もがサーバーにアクセスできる場合、SSHトンネルの目的は何ですか?

誰もがサーバーにアクセスできる場合、SSHトンネルの目的は何ですか?

私たちの会社が何であるかを説明しましょう。

私たちはVPNを使用しています。

次に、リモートデスクトップを使用してRDPに接続し、サーバーに接続します。

このサーバーはSSHを使用して他のリモートアプリケーションサーバーにアクセスします(SSHのみ、トンネルなし)。 (私たちの仕事はlinuxadminです)

データベースに接続するには、データベースのSSHトンネルを作成する必要があります。

マネージャーに尋ねたが、彼も確信していなかったか、私が要点を逃していた可能性があります。 SSHトンネリングのポイントを理解していません。なぜ直接アクセスできないのですか?セキュリティの観点から、SSHトンネルにはどのような違いがありますか?私の記憶が正しい場合は、同じVPNでアプリケーションサーバーにアクセスしているほとんどの人がSSHトンネルを介してデータベースにアクセスできるからです。

この場合、SSHトンネリングに利点はありますか?

この場合、SSHトンネリングが問題を解決するのを見ることはできません。

答え1

コメントから

VPNを使用してデータベースに直接接続できますか?できない場合は、ここに答えがあります。 – アンナヘリ

カント。しかし、アプリケーションサーバーにアクセスできる人(つまり、VPNアクセス権を持つ人)は誰でもトンネルを確立できませんか? – Zeshan Seh

一般に、VPNにアクセスすることは、SSHを介して[仮想]サーバーにアクセスするのとは異なります。あなたとあなたの同僚は両方を受け取ったかもしれませんが、他の人は両方のうちの1つだけを受け取ったかもしれません。

答えは、単に攻撃面を最小限に抑える原則です。データベースはファイアウォールに設定されているか、アプリケーションサーバーからの接続のみにアクセスできるように構成されています。同様に、アプリケーションサーバーは、VPNクライアントのみがSSHにアクセスできるようにSSHアクセスを制限できます。

この場合、SSHトンネルは開発者が過去のネットワーク制限を交渉する方法であるように聞こえ、それ自体でセキュリティを追加することを意図していません。つまり、トンネリングではなく閉じ込めに焦点を当てています。

答え2

ファイアウォール(iptablesモジュールowner)またはネットワーク名前空間(他の人には見えないインターフェイス)を使用して、SSHtunインターフェイスを使用できる人を制限できます。

関連情報