Blog
私たちは、ユーザーが自分だけが見ることのできるプライベートネットワークをインターネットの中に構築できるようにすることで、すべてを安全につなぐことができると信じています。ゼロトラストIT/OTネットワーキングをサービスとして提供します。
言語
English
その利点にもかかわらず、ジャンプボックスは、いくつかの誤解のためにITチームからの抵抗に直面することがあります。ここでは、最も一般的な反対意見を取り上げ、それらがこの貴重なセキュリティ・レイヤーの実装を妨げてはならない理由を明らかにしよう。
ITプロフェッショナルの中には、ジャンプボックスを追加することで、インフラに潜在的な障害ポイントがまた一つ増えるのではないかと心配する人もいる。技術的には正しいが、このような見方は全体像を見落としている。
適切に実装されたジャンプボックスは、実際には、より重大な障害に対する保険として機能する。確かにジャンプボックス自体が故障する可能性もあるが、ジャンプボックスがなければ、(VPNなどの)主要なアクセス手段に障害が発生しても、リモートアクセスの選択肢がまったくなくなってしまう。ジャンプボックスは、完全なロックアウトシナリオを防ぐフォールバックパスを提供します。
この心配を軽減するには、異なる接続方法で冗長化されたジャンプボックスを導入します。例えば、1つのジャンプボックスをプライマリのインターネット接続で接続し、もう1つはセルラーバックアップを使用します。この方法により、複数のシステムに障害が発生してもアクセスを維持することができます。
VPNとジャンプボックスの役割は、競合するものではなく、補完するものです。VPNは日常業務のための広範なネットワークアクセスを提供し、ジャンプボックスは管理アクセスに特化したエントリーポイントを提供します。
設定の問題、証明書の問題、ソフトウェアのバグなどが原因でVPNに障害が発生した場合、ジャンプボックスは非常に貴重な存在となります。ジャンプボックスは、VPNの診断と修正に必要なアクセスを提供します。
ジャンプボックスは、家の外に隠し持っているスペアキーだと思えばいい。必要になることはないだろうが、締め出されたときにその存在を非常にありがたく思うだろう。
セキュリティ専門家の中には、ジャンプボックスがインターネットに公開されることで、新たな攻撃ベクトルが発生するのではないかという懸念を表明する者もいる。この懸念は、適切なジャンプボックスの実装に対する誤解から生じている。
正しく設定されたジャンプボックスは、実際には次のようにしてセキュリティを強化する:
重要なのは、適切なハードニングにある。ジャンプボックス上で最小限のサービスを実行し、セキュリティパッチを定期的に更新し、多要素認証を導入し、頻繁にセキュリティ監査を実施する。適切に保護されれば、ジャンプボックスは負債ではなく、最強のセキュリティ資産のひとつとなる。
このような反論は、ジャンプボックスの実装に不慣れなチームや、複雑で高価なソリューションを想定しているチームから寄せられるのが一般的だ。実際には、ジャンプボックスは非常にシンプルに実装できる。
基本的なジャンプボックスは、SSHを実行するRaspberry Piを鍵ベースの認証で適切に保護し、ネットワーク上に配置するだけで、簡単にセットアップできる。クラウド環境では、ほとんどのプロバイダーが設定済みのジャンプボックス・テンプレートを提供しており、数分でデプロイできる。
ジャンプボックスの設置に投資する時間は、緊急時の現場訪問を防いだり、停電からの迅速な復旧に役立てたりすることで初めて節約できる時間に比べれば、微々たるものだ。
最近のネットワークは複数のセキュリティ・レイヤーを採用していることが多いため、ジャンプボックスは不必要に複雑さを増すと考えるチームもある。しかし、ジャンプボックスは他のセキュリティ対策と重複するのではなく、むしろ補完するユニークな目的を果たす。
ファイアウォールはトラフィックフローを制御し、VPNは接続を暗号化するが、どちらもジャンプボックスが提供するような専用の管理アクセス経路は提供しない。プライマリ・システムに障害が発生した場合、これらの他のセキュリティ・ツールは、アクセスを可能にするのではなく、むしろアクセスを妨げる可能性がある。
ジャンプボックスは、セキュリティアーキテクチャの特定のギャップを埋めるもので、他のシステムに障害が発生しても、リモートネットワークの管理制御を完全に失うことはありません。
ジャンプボックスの実用的な価値を説明するために、ジャンプボックスが貴重であることを証明する一般的なシナリオを考えてみよう:
管理者がリモートサイトのファイアウォールの設定を変更したところ、誤ってすべてのVPN接続をブロックしてしまった。ジャンプボックスがなければ、このミスを修正するために緊急にサイトを訪問する必要があります。別のポートや接続方式で動作するジャンプボックスがあれば、管理者はネットワークにアクセスし、設定ミスを特定し、リモートで修正することができます。
あなたの組織のVPNは、連休中に予期せず期限切れとなった証明書に依存しています。ユーザーと管理者は通常の経路では接続できませんが、証明書の代わりに鍵ベースのSSH認証を使用しているジャンプボックスにはアクセスできます。このため、チームは、VPNを中断することなく、証明書の問題に対処することができます。
.png){kind=logo}
