堡垒机放到公网最大的好处就是方便,一键直连,爽!
但是,堡垒机放公网明显有很大的安全隐患,万一被攻破了,就触发类似多米诺骨牌的情况,服务器有可能会被接连攻破,造成巨大损失。
所以,通常的情况是先登录VPN,然后访问堡垒机,并根据实际情况做不同的权限限制。
如果在特殊的情况下,就是不能配置VPN,需要直连堡垒机,那应该怎么办?
原则是尽量不让堡垒机被攻破,万一被攻破了能够及时发现。
如何不被攻破?第一、两步认证是必不可少的,比如动态口令,手机短信认证等。第二、配置更严格的规则,比如反复尝试直接禁用账号,不允许统一账号不同IP登录等,账号和主机做严格的配置和限制。第三、对堡垒机系统保持比较新的版本,只开放堡垒机端口,并且堡垒机的管理界面不能允许公网访问。
攻破了如何及时发现?答案是配置IPS/IDS,主机安全、蜜罐等产品。在网络层、主机层及时发现攻击行为,并且快速告警。如果能做到异常行为快速发现,也可以控制范围。
所以,你敢不敢把堡垒机放到公网?
