Должен ли сервер быть скрыт за VPN для доступа по SSH?

У нас есть три экземпляра сервера, стек Nginx/PHP, PostgreSQL и ELK. Моя идея состоит в том, что сервер PHP разрешит публичный доступ к портам 22, 80 и 443, сервер ELK будет иметь открытый порт 5601 для общего доступа, но все остальные взаимодействия разрешены только через их частные IP-адреса.

Нужно ли мне скрывать их все за VPN? Каковы преимущества этого? У VPN не было бы другой цели, он не распространяется на всю компанию или что-то в этом роде, он предназначен только для защиты этих серверов.

Зависит от. Обычно это спорно.

В семействе BSD есть черный списокd, который идеально подходит для фильтрации брутфорсеров/сканеров на прикладном уровне. Linux высокомерны, поэтому у них есть только своеобразный фреймворк Python. фейл2бан, который, по моему мнению, должен был быть отклонен во время альфатеста и не допущен к установке на производственном уровне.

С другой стороны, если вы не разрешаете root входить в систему через ssh (что является обычным выбором безопасности), то у вас есть дополнительный барьер грубой силы (опять же, некоторые дистрибутивы Linux настаивают на том, чтобы root мог входить в систему через SSH) .

Еще спорно. Некоторые инженеры предпочитают привязывать sshd к какому-то другому порту, а не к традиционному tcp/22, некоторые разрешают ssh только через VPN (видите, это говорит нам кое-что о фейл2бан уже). Это своего рода личный выбор. Я сам не закрываю tcp/22 на своих серверах, но использую политики паролей и не разрешаю руту входить через SSH. Кто-то может сказать, что я иду по краю. Я говорю - использование ssh на tcp/2202 самоистязание.

Должен ли сервер быть скрыт за VPN для доступа по SSH?

Может быть. Приложениям с современными методами безопасности не нужно без причины находиться за VPN. Модный термин для понимания того, что периметр сети не обеспечивает безопасность автоматически, — «нулевое доверие».

Частные IP-адреса не требуются для обеспечения безопасности. Считайте правила брандмауэра необходимыми, если все хосты имеют общедоступные адреса (IPv6). Разрешить tcp/22 из любого места для прямого доступа с помощью ssh. И разрешите 443/tcp из любого места для веб-сервера. Но 5432/tcp нужно разрешить только с ваших хостов, которым нужен доступ к базе данных, а не к Интернету в целом. ssh и http исторически были более общедоступными, поэтому предоставляйте доступ к веб-приложениям, а не к серверу базы данных.

Конечно, поддерживайте эти хосты, чтобы обеспечить их безопасность.Будьте в курсе обновлений безопасности. Используйте строгую аутентификацию, например ключи ssh. Аудит доступа, особенно для привилегированных пользователей.