アドバンストサーバーアクセスのゲートウェイの利点

アドバンストサーバーアクセスのゲートウェイは、SSH要塞サーバーのスタンドアロンの代替として使用するか、または標準のSSH要塞と組み合わせて使用できます。アドバンストサーバーアクセスのゲートウェイは、SSH セッションキャプチャにも使用できます。可能な組み合わせに関する詳細は、「ゲートウェイおよび要塞」を参照し、SSHセッションキャプチャに関する詳細は、「セッションキャプチャ」をご覧ください。

従来型SSH 要塞と比較したアドバンストサーバーアクセスのゲートウェイの利点は、高い可用性と改善されたセキュリティです。

高可用性

ゲートウェイは高可用性を保証するための複数のメカニズムを提供し、これによりゲートウェイは単一障害点による欠点を負うことなく、要塞ホストの機能性を提供できます。ゲートウェイは、標準の負荷分散に加え、組み込まれたステータスチェックや、複数のゲートウェイが同じラベルで登録されている場合の自動負荷分散など、サーバーへのアクセスを常にオンにするためのその他の複数のメカニズムを備えています。「ゲートウェイの高可用性」をご覧ください。

セキュリティ

アドバンストサーバーアクセスのゲートウェイは、以下の設計によりSSH 要塞よりも安全です。

ゼロトラスト

標準のSSH 接続では、サーバーへの接続にある種の秘密の資格情報(パスワード、キー、証明書など)を使用します。これらの資格情報は短時間のみ有効である可能性はあるものの、クライアントまたはエッジデバイスが侵害された場合、攻撃者はターゲットサーバーに直接アクセスする機会を得ることができます。

SSH 接続にアドバンストサーバーアクセスのゲートウェイを使用する場合、クライアントはサーバーに直接SSHを介して接続するために使用できる資格情報を受け取ることはありません。代わりに、クライアントはゲートウェイに転送される暗号化されたペイロード(ゲートウェイのみ複合化可能)を受信します。このアプローチの利点には次が含まれます。

  • 侵害されたクライアントデバイス は、ターゲットサーバーに直接SSHを介して接続するために利用できる資格情報を攻撃者にアクセスさせる隙を決して与えません。
  • アクセスはゲートウェイを通過する必要があるため、侵入検知システム (IDS) またはその他のモニタリングツールを使用してアクセス試行を監視する方が簡単です。

論理的アクセス管理

適切なアクセス制御を維持することは、SSH要塞を使用している場合でも、困難な可能性があります。ユーザーのアクセス許可の記録に加え、どの要塞がどのサーバーにアクセス可能であるかの記録も維持する必要があります。異なる要塞が、アクセスできるサーバーに基づいて異なるセキュリティ要件を持つ場合には、複雑さが増加します。

アドバンストサーバーアクセスのゲートウェイは、ラベルを使用してこの複雑さを軽減します。ラベルによって、プロジェクト上でサーバーへの接続をルーティングするゲートウェイが決定されます。ラベルを使用して、クラウドリージョン、コンプライアンス認定、オペレーティングシステム、ユーザーが選択する重要な値のペアなどによって、ゲートウェイをスライスすることが可能になります。プロジェクトに使用するラベルとラベルセレクターが正確であれば、ターゲットサーバーへの接続に使用されるゲートウェイが要件を満たしていることに確信が持てます。

例えば、データが特定の国の国境を出てはならないことを規定するデータの局所要件について考察します。従来の要塞環境では、すべてのターゲットサーバーと要塞サーバーを監査して、サーバーへの唯一の可能な入口が国内の要塞を通過することを確認する必要がありました。ゲートウェイを使用する場合、ゲートウェイのオペレーティングリージョン(例:AWSリージョン)でゲートウェイにラベルを付けることができます。個々のサーバーを監視する必要はなく、その代わりにアクセス制限を必要とするサーバーのプロジェクトに、ゲートウェイセレクターとしてのリージョンを追加します。

ゲートウェイは、特に アドバンストサーバーアクセスのグループと組み合わせてユーザーの管理に使用する場合に、コンプライアンス要件を満たすために使用できるパワフルなツールになります。

ネイティブIDプロバイダー(IdP)の統合

SSHはサーバーへのアクセスを保護するための素晴らしいプロトコルですが、フェデレーションIDプロバイダーが登場する以前に設計されたものです。その結果、認証スキーマは人間のIDではなく、マシンのIDを中心に構成されています。SSHは、組織、会社の部門、人材の役職ではなく、サーバー、キー、証明書上のユーザーを扱います。

これにより、SSH要塞はサイドチャンネル攻撃の形態に対して脆弱なままになります。十分なアクセス権限を持つユーザーが要塞またはターゲットサーバーの構成を変更できる場合、IDプロバイダーをバイパスする方法でターゲットサーバーにアクセスできる可能性があります。例えば、サーバーへの管理者アクセスを持つユーザーがそのsshd構成を変更し、ログ記録のないアクセスを可能にするためにパブリックキーをインストールする場合を想定してください。

ゲートウェイは、SSHのような一般的なプロトコルではなく、アドバンストサーバーアクセスと深く結びつくことで、この問題に対処します。ゲートウェイを通過するには、ユーザーはアドバンストサーバーアクセスのクライアントを実行し、Oktaによって認証される必要があります。これにより、ゲートウェイの背後におけるサーバーへのすべてのアクセスがOktaによって保護されることが保証されます。

関連項目

アドバンストサーバーアクセスのゲートウェイをインストールする

セッションキャプチャ