Ar trebui să fie ascuns serverul în spatele unui VPN pentru accesul SSH?

Avem trei instanțe de server, Nginx/PHP, PostgreSQL și stiva ELK. Ideea mea este că serverul PHP ar permite accesul public pentru porturile 22, 80 și 443, serverul ELK ar avea portul deschis 5601 pentru acces public, dar toate celelalte intercomunicații sunt permise numai prin adresele lor IP private.

Trebuie să le ascund pe toate în spatele unui VPN? Care sunt beneficiile acestui lucru? VPN nu ar avea alt scop, nu este la nivel de companie sau ceva de genul acesta, este doar pentru securizarea acelor servere.

Depinde de. De obicei, acest lucru este controversat.

Familia BSD are o lista neagrăd, care este perfect pentru filtrarea bruteforcer/scanere pe un strat de aplicație. Linux-urile sunt arogante, așa că au doar un cadru python particular fail2ban, care, în opinia mea, ar fi trebuit să fie respins în timpul alfatest și să nu fie permis să intre în nicio instalare la nivel de producție.

Pe de altă parte, dacă nu permiteți root-ului să se conecteze prin ssh (care este o alegere obișnuită de securitate), atunci aveți o barieră bruteforce suplimentară (încă o dată, mai multe distribuții Linux insistă că root-ul ar trebui să se poată conecta prin SSH) .

Încă controversat. Unii ingineri preferă să lege sshd la alt port decât tcp/22 tradițional, unii vor permite ssh numai prin VPN-uri (vezi, asta ne spune ceva despre fail2ban deja). Este un fel de alegere personală. Eu însumi nu închid tcp/22 pe serverele mele, dar folosesc politicile de parole și nu permit root-ului să se conecteze prin SSH. Unii ar putea spune că merg pe margine. Eu zic - folosirea ssh pe un tcp/2202 este o auto-torturare.

Ar trebui să fie ascuns serverul în spatele unui VPN pentru accesul SSH?

Pot fi. Aplicațiile cu practici moderne de securitate nu trebuie să fie în spatele unui VPN fără motiv. Un termen la modă pentru a realiza că perimetrul rețelei nu face automat lucrurile sigure este „încredere zero”.

Adresele IP private nu sunt necesare pentru securitate. Luați în considerare regulile de firewall necesare dacă toate gazdele au adrese publice (IPv6). Permiteți tcp/22 de oriunde pentru acces direct cu ssh. Și permiteți 443/tcp de oriunde pentru serverul web. Dar 5432/tcp trebuie permis doar de la gazdele dvs. care au nevoie de acces la baza de date, nu de internet în general. ssh și http au fost istoric mai orientate spre public, așa că expuneți aplicațiile web și nu serverul de baze de date.

Desigur, mențineți aceste gazde pentru a le menține în siguranță.Fiți la curent cu actualizările de securitate. Folosiți o autentificare puternică, cum ar fi cheile ssh. Auditează accesul, în special pentru utilizatorii privilegiați.