우리 회사가 어떤지 설명해 보겠습니다.
우리는 VPN을 사용합니다.
그런 다음 원격 데스크톱을 사용하여 RDP에 연결하고 서버에 연결합니다.
이 서버에서 SSH를 사용하여 다른 원격 애플리케이션 서버에 액세스합니다(SSH만, 터널 없음). (저희 직업은 linuxadmin 입니다)
데이터베이스에 연결하려면 데이터베이스에 대한 SSH 터널을 생성해야 합니다.
매니저에게 물어봤는데 그도 확신하지 못했거나 제가 요점을 놓치고 있었을 수도 있습니다. SSH 터널링의 요점을 이해하지 못합니다. 왜 직접 액세스할 수 없나요? 보안 측면에서 SSH 터널은 어떤 차이가 있습니까? 제 기억이 맞다면 동일한 VPN에서 애플리케이션 서버에 액세스하는 거의 모든 사람이 SSH 터널을 통해 데이터베이스에 액세스할 수 있기 때문입니다.
이 경우 SSH 터널링에 이점이 있습니까?
이 경우 SSH 터널링이 문제를 해결하는 것을 볼 수 없습니다.
답변1
댓글에서
VPN을 사용하여 데이터베이스에 직접 연결할 수 있나요? 할 수 없다면 여기에 답이 있습니다. – 안나헤리
캔트. 하지만 애플리케이션 서버에 액세스할 수 있는 사람(즉, VPN 액세스 권한이 있는 사람)은 누구나 터널을 설정할 수 있지 않을까요? – Zeshan Seh
일반적으로 VPN에 액세스하는 것은 SSH를 통해 [가상] 서버에 액세스하는 것과 다릅니다. 귀하와 귀하의 동료는 둘 다 받았을 수도 있지만 다른 사람들은 둘 중 하나만 받았을 수도 있습니다.
대답은 단순히 공격 표면을 최소화하는 원칙일 수 있습니다. 데이터베이스는 방화벽으로 설정되어 있거나 응용 프로그램 서버의 연결만 액세스할 수 있도록 구성되어 있을 수 있습니다. 마찬가지로 애플리케이션 서버는 VPN 클라이언트만 SSH에 액세스할 수 있도록 SSH 액세스를 제한할 수 있습니다.
이 경우 SSH 터널은 개발자가 과거 네트워크 제한 사항을 협상하는 방법인 것처럼 들리며 그 자체로 보안을 추가하려는 의도는 아닙니다. 즉, 터널링보다는 감금에 중점을 두고 있습니다.
답변2
방화벽( iptables모듈 owner) 또는 네트워크 네임스페이스(다른 사람에게는 보이지 않는 인터페이스)를 사용하여 SSH tun인터페이스를 사용할 수 있는 사람을 제한할 수 있습니다.