[ad_1]
In questo post del blog imparerai come registrare sessioni SSH su una VSI Red Hat Enterprise Linux (RHEL) in una rete VPC privata utilizzando pacchetti integrati. Il provisioning della rete privata VPC viene eseguito tramite Terraform e i pacchetti RHEL vengono installati utilizzando l’automazione Ansible. Inoltre, imparerai come configurare un bastion host ad alta disponibilità.
Cos’è la registrazione della sessione e perché è necessaria?
Un bastion host e un jump server sono entrambi meccanismi di sicurezza utilizzati negli ambienti di rete e server per controllare e migliorare la sicurezza durante la connessione a sistemi remoti. Hanno scopi simili ma presentano alcune differenze nella loro implementazione e nei casi d’uso. Il bastion host viene posto di fronte alla rete privata per ricevere le richieste SSH dal traffico pubblico e passare la richiesta alla macchina downstream. Gli host bastion e i server jump sono vulnerabili alle intrusioni perché esposti al traffico pubblico.
La registrazione delle sessioni aiuta un amministratore di un sistema a controllare le sessioni SSH degli utenti e ad assicurarsi che siano conformi ai requisiti normativi. In caso di violazione della sicurezza, l’amministratore vorrà verificare e analizzare le sessioni dell’utente. Questo è fondamentale per un sistema sensibile alla sicurezza.
Cos’è una rete VPC privata?
Un cloud privato virtuale è completamente privato se non è presente traffico di rete pubblico in entrata o in uscita. In termini tecnici semplici, è privato se non sono presenti gateway pubblici sulle sottoreti (sottoreti private) e nessun IP mobile sulle istanze del server virtuale (VSI).
Come mi collego alla rete VPC privata?
La VPN da client a sito per VPC è una delle due opzioni VPN disponibili su IBM Cloud e consente agli utenti di connettersi alle risorse IBM Cloud tramite connessioni sicure e crittografate.
La VPN da client a sito è a disponibilità elevata, con due server VPN creati in due diverse zone di disponibilità nella stessa area. Anche i bastioni sono altamente disponibili.
Prerequisiti
Effettua il provisioning della rete VPC privata utilizzando Terraform
- Una volta ottenuto il segreto IBM Cloud Secrets Manager con il certificato, avvia il tuo terminale e imposta le seguenti variabili Terraform:
export TF_VAR_ibmcloud_api_key=<IBM_CLOUD_API_KEY>
export TF_VAR_secrets_manager_certificate_crn=<SECRET_CRN>git clone https://github.com/VidyasagarMSC/private-vpc-network
cd terraform- Esegui i comandi Terraform per eseguire il provisioning delle risorse VPC (ad esempio sottoreti, bastion host (VSI), VPN e così via):
terraform init
terraform plan
terraform applyConnettiti alla VPN da client a sito
- Una volta eseguito correttamente il provisioning delle risorse VPC, devi scaricare il profilo client VPN accedendo alla pagina dei server VPN su IBM Cloud.
- Clicca il Scheda Server da client a sito e poi sul nome della VPN:
- Scarica il profilo da Clienti scheda.
- La VPN fornita tramite Terraform utilizza i certificati. Segui le istruzioni qui per connetterti al client OpenVPN.
- Dovresti vedere la connessione riuscita sul tuo client OpenVPN:
Verificare la connessione SSH
- Su un terminale, aggiungi la chiave privata SSH all’agente SSH con il seguente comando:
ssh-add <LOCATION_OF_PRIVATE_SSH_KEY> - Esempio:
ssh-add ~/.ssh/<NAME_OF_THE_PRIVATE_KEY> - Esegui il comando seguente su SSH nella VSI RHEL tramite un host bastion. Utilizzerai l’indirizzo IP privato del bastione nella Zona 1:
ssh -J root@10.10.0.13 root@10.10.128.13- Ricorda, dovresti essere connesso alla VPN da client a sito per accedere a RHEL VSI tramite l’host bastion.
- Dopo SSH, dovresti vedere le istruzioni per abilitare la registrazione della sessione SSH utilizzando il pacchetto TLOG su RHEL.
Distribuisci la registrazione della sessione utilizzando Ansible
Per distribuire la soluzione di registrazione della sessione, è necessario che siano installati i seguenti pacchetti su RHEL VSI:
tlogSSSDcockpit-session-recording
I pacchetti verranno installati tramite l’automazione Ansible su tutte le VSI, sia bastion host che RHEL VSI.
- Passare alla cartella Ansible:
cd ansible- Creare
hosts.inidal file modello:
cp hosts_template.ini hosts.ini- Esegui il playbook Ansible per installare i pacchetti da un mirror/repository privato IBM Cloud:
ansible-playbook main_playbook.yml -i hosts.ini --flush-cachePuoi vedere nella Figura 1 che dopo aver effettuato l’accesso SSH alla macchina RHEL, vedrai una nota che dice: ATTENZIONE! La tua sessione è in fase di registrazione!
Controlla le registrazioni, i log e i report delle sessioni
Se osservi attentamente i messaggi post-SSH, vedrai un URL della console web a cui è possibile accedere utilizzando il nome della macchina o l’IP privato sulla porta 9090. Per consentire il traffico sulla porta 9090, nel codice Terraform, modifica il valore di allow_port_9090 variabile a true e corri terraform apply. L’ultimo terraform apply aggiungerà le regole ACL e del gruppo di sicurezza per consentire il traffico sulla porta 9090.
- Ora apri un browser e vai a
http://10.10.128.13:9090. Per accedere utilizzando il nome VSI, è necessario impostare un DNS privato (fuori dall’ambito di questo articolo). È necessaria una password di root per accedere alla console web:
- Navigare verso Registrazione della sessione sul lato sinistro per visualizzare l’elenco delle registrazioni delle sessioni. Oltre alle registrazioni delle sessioni è possibile controllare i log, i report diagnostici, ecc.:
Lettura consigliata
Conclusione
Questo articolo spiega perché la registrazione della sessione è necessaria negli host bastion per il controllo e la conformità e come è possibile impostare la registrazione della sessione con i pacchetti RHEL integrati utilizzando Ansible Automation.
Durante la progettazione di una rete cloud privata virtuale protetta, hai appreso le best practice nell’architettura di una rete privata VPC. Abbiamo inoltre affrontato la necessità di creare server VPN e bastion host ad alta disponibilità. Con il provisioning dell’infrastruttura cloud utilizzando Terraform e Ansible per la registrazione delle sessioni, hai acquisito un’esperienza pratica.
Ulteriori informazioni su IBM Cloud VPC
Se avete domande, non esitate a contattarmi su Twitter o su LinkedIn.
[ad_2]
Source link
