私たちの会社が何であるかを説明しましょう。
私たちはVPNを使用しています。
次に、リモートデスクトップを使用してRDPに接続し、サーバーに接続します。
このサーバーはSSHを使用して他のリモートアプリケーションサーバーにアクセスします(SSHのみ、トンネルなし)。 (私たちの仕事はlinuxadminです)
データベースに接続するには、データベースのSSHトンネルを作成する必要があります。
マネージャーに尋ねたが、彼も確信していなかったか、私が要点を逃していた可能性があります。 SSHトンネリングのポイントを理解していません。なぜ直接アクセスできないのですか?セキュリティの観点から、SSHトンネルにはどのような違いがありますか?私の記憶が正しい場合は、同じVPNでアプリケーションサーバーにアクセスしているほとんどの人がSSHトンネルを介してデータベースにアクセスできるからです。
この場合、SSHトンネリングに利点はありますか?
この場合、SSHトンネリングが問題を解決するのを見ることはできません。
答え1
コメントから
VPNを使用してデータベースに直接接続できますか?できない場合は、ここに答えがあります。 – アンナヘリ
カント。しかし、アプリケーションサーバーにアクセスできる人(つまり、VPNアクセス権を持つ人)は誰でもトンネルを確立できませんか? – Zeshan Seh
一般に、VPNにアクセスすることは、SSHを介して[仮想]サーバーにアクセスするのとは異なります。あなたとあなたの同僚は両方を受け取ったかもしれませんが、他の人は両方のうちの1つだけを受け取ったかもしれません。
答えは、単に攻撃面を最小限に抑える原則です。データベースはファイアウォールに設定されているか、アプリケーションサーバーからの接続のみにアクセスできるように構成されています。同様に、アプリケーションサーバーは、VPNクライアントのみがSSHにアクセスできるようにSSHアクセスを制限できます。
この場合、SSHトンネルは開発者が過去のネットワーク制限を交渉する方法であるように聞こえ、それ自体でセキュリティを追加することを意図していません。つまり、トンネリングではなく閉じ込めに焦点を当てています。
答え2
ファイアウォール(iptables
モジュールowner
)またはネットワーク名前空間(他の人には見えないインターフェイス)を使用して、SSHtun
インターフェイスを使用できる人を制限できます。