VPNまたは証明書ベースのSSHを介してLinuxサーバーにアクセスしますか?

VPNまたは証明書ベースのSSHを介してLinuxサーバーにアクセスしますか?

私たちの会社には、企業ネットワークの外にいるときにサーバーにアクセスするためにVPNを介してログインする必要がある非常に一般的なセキュリティ設定があります。生物軍はほとんどWindowsシステムです。

私は現在、外部の世界からアクセスできる必要があるリポジトリ/ビルド Debian 環境を設定する作業を行っています。証明書に基づいてOpenSSHを使用して設定しましたssh

私の質問は次のとおりです。

インターネット上でSSHポートを開き、SSH証明書がユーザーを認証できるようにすることと比較して、VPN設定を使用するための追加のセキュリティはありますか?

私の考えでは、通常、VPNに属していない人に単一のサービスへのアクセス権を付与することは、そのユーザーに必要なものよりも多くのアクセス権を付与することです。しかし、私はVPNについてよく知りませんが、私が見逃している追加の利点はありますか?

答え1

VPNを使用することは、SSHポートを世界中に開くよりも安全です。外部からVPNアクセス用に単一のポートのみを開くと、ユーザーはイントラネット内のすべてのコンピュータにアクセスできます。 SSHなどの各サーバーでパブリックポートを開く必要はありません。 VPNゲートウェイとは別に、サーバーは外部の世界から完全に隠されています。私はこれが良いと思います。ユーザーに追加のサービスへのアクセスを許可するかどうかを望んでいない場合でも、世界中にまだ開いているVPNポートがあります。

もちろん、必要に応じてイントラネット内のすべてのアクセスをファイアウォールに設定することもできます。さらに、サーバーのSSHポートを外部の世界に開く場合は、ポートノックとfail2banそのポートの奇妙な動作をブロックするなど、いくつかの追加のセキュリティ対策が必要です。

したがって、VPNは、「外勤労働者」がローカルサービスにアクセスするためのより優れた柔軟な方法です。私はこれがほぼ標準に近い良い習慣だと思います。

答え2

追加のセキュリティは表示されません。どちらも同じ弱点を持っています。これは世界中に開放されたポートです。

関連情報