アドバンストサーバーアクセスのゲートウェイ
アドバンストサーバーアクセスのゲートウェイは、SSH Bastion (踏み台)サーバーのスタンドアロンの代替として利用することも、標準のSSH Bastion (踏み台)と組み合わせて利用することもできます。アドバンストサーバーアクセスのゲートウェイは、SSHセッションキャプチャにも利用できます。可能な組み合わせの詳細については「アドバンストサーバーアクセスのゲートウェイとBastion (踏み台)」、SSHセッションキャプチャの詳細については「セッションキャプチャ」をご覧ください。
アドバンストサーバーアクセスのゲートウェイは、可用性とセキュリティを向上させます。
高可用性
ゲートウェイは高可用性を保証するための複数のメカニズムを提供し、これによりゲートウェイは単一障害点による欠点を負うことなく、Bastion (踏み台)ホストの機能性を提供できます。標準の負荷分散に加え、内蔵のステータスチェックや、複数のゲートウェイが同じラベルで登録されている場合の自動負荷分散など、ゲートウェイは、サーバーへのアクセスを常時オンにするための複数のメカニズムを備えています。「アドバンストサーバーアクセスのゲートウェイの可用性向上」をご覧ください。
セキュリティ
以下の設計により、アドバンストサーバーアクセスのゲートウェイはSSH Bastion (踏み台)よりも安全です。
ゼロトラスト
標準のSSH接続では、サーバーへの接続に、なんらかの秘密の資格情報(パスワード、キー、証明書など)が使用されます。これらの資格情報は短時間のみ有効である可能性はあるものの、クライアントまたはエッジデバイスが侵害された場合、攻撃者はターゲットサーバーに直接アクセスする機会を得ることができます。
SSH接続にアドバンストサーバーアクセスのゲートウェイを使用する場合、クライアントは、サーバーとの直接SSH接続に利用できる資格情報を受け取りません。クライアントが代わりに受け取るのは、ゲートウェイに転送され、ゲートウェイのみが復号できる暗号化されたペイロードです。このアプローチには次のような利点があります。
- 侵害されたクライアントデバイス は、ターゲットサーバーとの直接SSH接続に必要な資格情報を攻撃者にアクセスさせる隙を決して与えません。
- アクセスはゲートウェイを通過しなければならないため、侵入検知システム(IDS)やその他のモニタリングツールを使ってアクセス試行を監視する方が簡単です。
論理的アクセス管理
適切なアクセス制御を維持することは、SSH Bastion (踏み台)を使用している場合でも、困難な可能性があります。ユーザーのアクセス許可の記録に加え、どのBastion (踏み台)がどのサーバーにアクセス可能であるかの記録も維持する必要があります。各Bastion (踏み台)のセキュリティ要件がアクセス可能なサーバーに応じて異なる場合は、さらに複雑です。
アドバンストサーバーアクセスのゲートウェイは、この複雑さをラベルによって軽減します。プロジェクトのサーバーに接続をルーティングするためのゲートウェイは、ラベルによって決まります。ラベルを使用することで、クラウドリージョン、コンプライアンス認定、オペレーティングシステム、ユーザーが選択するキーと値のペアなどに基づいてゲートウェイをスライスできます。プロジェクトで使用するラベルとラベルセレクターが正確であれば、ターゲットサーバーとの接続に使用されるゲートウェイは確実に要件を満たしています。
例えば、データが特定の国の国境を越えてはならないと規定するデータの局所要件について考えてみましょう。従来のBastion (踏み台)環境では、すべてのターゲットサーバーとBastion (踏み台)サーバーを監査して、サーバーへの唯一の入力が国内のBastion (踏み台)を通過することを確認する必要がありました。ゲートウェイを使用する場合、ゲートウェイの動作リージョン(例:AWSリージョン)に基づいてゲートウェイにラベルを付けることができます。個々のサーバーを監視する必要はなくなり、このようなアクセス制限を必要とするサーバーのプロジェクトにゲートウェイセレクターとしてリージョンを追加します。
アドバンストサーバーアクセスのグループと組み合わせてユーザーの管理に使用する場合は特に、ゲートウェイはコンプライアンス要件の順守に利用できる強力なツールとなります。
ネイティブIDプロバイダー(IdP)の統合
SSHはサーバーへのアクセスを保護するための素晴らしいプロトコルですが、フェデレーションIDプロバイダーが登場する以前に設計されたものです。その結果、認証スキーマは人間のIDではなく、マシンのIDを中心に構成されています。SSHで扱われるのは、Organization、会社の部門、人材の役職ではなく、サーバー、キー、証明書などのユーザーです。
このため、SSH Bastion (踏み台)は各種形式のサイドチャンネル攻撃に対して脆弱なままになります。十分なアクセス権限を持つユーザーがBastion (踏み台)またはターゲットサーバーの構成を変更できる場合、これらのユーザーがIDプロバイダーをバイパスしてターゲットサーバーにアクセスできる可能性があります。例えば、サーバーに管理者アクセスできるユーザーがsshd構成を変更し、アクセスがログに記録されないように公開鍵をインストールするシナリオを想像してみてください。
ゲートウェイは、SSHなどの汎用プロトコルになるのではなく、アドバンストサーバーアクセスと深く結びつくことでこの問題に対応します。ゲートウェイを通過するには、ユーザーはアドバンストサーバーアクセスのクライアントを実行し、Oktaによって認証される必要があります。これにより、ゲートウェイの背後にあるサーバーへのすべてのアクセスがOktaによって確実に保護されます。
トピック
| タスク | 説明 |
|---|---|
| アドバンストサーバーアクセスのクライアントをインストールする | アドバンストサーバーアクセスのゲートウェイをインストールする |
| アドバンストサーバーアクセスのゲートウェイセットアップトークンを作成する |
ゲートウェイをチームに接続する |
| アドバンストサーバーアクセスのゲートウェイを構成する | ゲートウェイの動作を制御する |
| オプション。セッションキャプチャ | ゲートウェイでのセッションキャプチャを構成する |