我张贴在网站pipe理员,但有人build议我问这里…
https://webmasters.stackexchange.com/questions/26517/securing-access-to-server
我们有远程工作的开发人员和ISP的服务器。 我试图确定访问服务器的最佳安全模型。 目前用户使用SSH或SFTPlogin来pipe理文件或连接。 服务器位于防火墙的后面,可以阻止端口,但不限制IP地址开发人员可以在不同的地点工作,也可以在IP地址更改的家中工作。
我的想法是让所有的开发人员连接到一个公司设置的VPN,然后让VPN通过防火墙连接到服务器。 我可以通过这种方式阻止VPN以外的所有IP。
这是增加安全性的“标准”方式吗?
那么对于每个开发者来说,“标准”的方式就是拥有自己的login标识和证书集合。 有一个强制密码的密码策略,以及一个logging机制,以确定谁login,谁改变什么,什么时候改变。 您已经在实施安全的通信渠道,因此这是一个很好的开始。
你可以进行额外的步骤,让用户VPN到主机,然后有一个防火墙规则,只允许连接到从主机连接到networking池,但我不知道这是必要的,如果其他政策到位和执行。