Máy chủ có nên ẩn sau VPN để truy cập SSH không?

Chúng tôi có ba phiên bản máy chủ, ngăn xếp Nginx/PHP, PostgreSQL và ELK. Ý tưởng của tôi là máy chủ PHP sẽ cho phép truy cập công khai đối với các cổng 22, 80 và 443, máy chủ ELK sẽ mở cổng 5601 để truy cập công khai, nhưng tất cả các giao tiếp khác chỉ được phép thông qua địa chỉ IP riêng của chúng.

Tôi có cần ẩn tất cả chúng sau một VPN không? những lợi ích của điều đó là gì? VPN sẽ không có mục đích nào khác, nó không dành cho toàn công ty hay đại loại như vậy, nó chỉ để bảo mật các máy chủ đó.

Phụ thuộc. Thông thường điều này gây tranh cãi.

Gia đình BSD có một danh sách đen, rất phù hợp để lọc các trình quét / quét vũ phu trên một lớp ứng dụng. Linux kiêu ngạo nên chúng chỉ có một khung python đặc biệt fail2ban, theo ý kiến ​​​​của tôi, nên bị từ chối trong suốt thời gian dài nhất và không được phép nhập bất kỳ bản cài đặt cấp sản xuất nào.

Mặt khác, nếu bạn không cho phép root đăng nhập qua ssh (đây là lựa chọn bảo mật thông thường), thì bạn có thêm rào cản bruteforce (một lần nữa, một số bản phân phối Linux nhấn mạnh rằng root có thể đăng nhập qua SSH) .

Vẫn còn tranh cãi. Một số kỹ sư thích liên kết sshd với một số cổng khác hơn là tcp/22 truyền thống, một số sẽ chỉ cho phép ssh qua VPN (hãy xem, điều này cho chúng ta biết điều gì đó về fail2ban đã sẵn sàng). Đó là một sự lựa chọn cá nhân. Bản thân tôi không đóng tcp/22 trên máy chủ của mình, nhưng tôi sử dụng chính sách mật khẩu và không cho phép root đăng nhập qua SSH. Một số người có thể nói rằng tôi đang đi trên bờ vực. Tôi nói - sử dụng ssh trên tcp/2202 là tự hành hạ mình.

Máy chủ có nên ẩn sau VPN để truy cập SSH không?

Có lẽ. Các ứng dụng có thực tiễn bảo mật hiện đại không cần phải sử dụng VPN mà không có lý do. Một thuật ngữ thời thượng để nhận ra rằng chu vi mạng không tự động làm cho mọi thứ trở nên an toàn là "không tin cậy".

Địa chỉ IP riêng không bắt buộc để bảo mật. Xem xét các quy tắc tường lửa cần thiết nếu tất cả các máy chủ đều có địa chỉ công cộng (IPv6). Cho phép tcp/22 từ mọi nơi để truy cập trực tiếp bằng ssh. Và cho phép 443/tcp từ mọi nơi cho máy chủ web. Nhưng 5432/tcp chỉ cần được cho phép từ các máy chủ của bạn cần truy cập cơ sở dữ liệu chứ không phải internet nói chung. ssh và http trước đây thường được công khai hơn, vì vậy hãy hiển thị các ứng dụng web chứ không phải máy chủ cơ sở dữ liệu.

Tất nhiên duy trì các máy chủ để giữ cho chúng an toàn.Luôn cập nhật các bản cập nhật bảo mật. Sử dụng xác thực mạnh, như khóa ssh. Kiểm tra quyền truy cập, đặc biệt là đối với người dùng cá nhân.