公司生产环境网络安全升级过程
缘由
随着公司研发人员越来越多,为了安全控制要对服务器访问进行控制。为了让线上服务器更安全,所以要进行技术改造。如下图是以前的架构图图。
技术人员主要通过SSH到堡垒机 在通过堡垒机去链接其他服务器或者数据。此时堡垒机是要暴露一个公网SSH端口在外面的,这样不太安全。所以想到了用VPN解决
改变之后的架构图
对比之后我们可以发现,SSH线路被VPN取代了,这样我们就可以把SSH的端口关闭掉,只使用VPN就可以直接到堡垒机了。这样我们就需要在堡垒机服务器安装一个VPN服务就可以了。
关于VPN软件相关东西就不细说。本来写了很多内容,微信公众号那边提示违规了,那就去掉了,机制的你们肯定可以找到对应的解决方案。参考脚本点击这里。
当连接上VPN,这时候你就相当于在堡垒机服务器上面了,直接可以连接 业务服务器了。
至于如何控制每个用户可以登录哪些业务服务器 需要增加业务系统,我们内部自己用Python开发了一套CMDB