我的公司是分布式的,本身没有“网络”。我们使用 AWS,我需要确保我们能够安全地访问环境,但我无法通过允许用户通过 VPN 进入公司网络然后访问服务器环境来做到这一点。考虑到整个员工队伍都是分布式的,保护服务器环境的适当解决方案是什么?
答案1
我建议设置一个 SSH 堡垒主机。您需要为其指定一个弹性 IP,并设置安全组以适当限制堡垒主机的访问权限。
一些注意事项:
- 强制使用 SSH 密钥。(无需密码验证)
- 配置 fail2ban 以清除暴力破解尝试
- 严格限制 bh 可用的入站和出站端口
- 公司政策要求 ssh 私钥必须有密码
主要的缺点是您的用户需要熟练掌握 SSH 隧道。
无论如何,您都希望有一个堡垒主机可用于灾难恢复 - 例如 VPN 发生故障。