Para hacer ssh en nuestra infraestructura de AWS fuera de la oficina, estamos obligados a conectarnos a una VPN que nos proporciona una IP de oficina. Una vez que estemos conectados a esta VPN, debemos conectarnos a otra VPN (a la que solo se puede acceder desde las IP de la oficina ), y solo cuando estemos conectados a esta VPN, podemos ingresar a las máquinas.
La primera capa de VPN tiene sentido, pero ¿la segunda capa agrega seguridad adicional?
La razón por la que me dan es que abrir puertos ssh a las direcciones IP de la oficina es peligroso, ya que hay muchas computadoras en nuestra red y, si alguno de ellos está comprometido, simplemente dejará la ventana abierta.
Al preguntar por qué no se puede hacer pública la VPN externa, me dicen que es similar a tener un bastión SSH abierto al mundo.
La conexión a dos redes privadas virtuales (VPN) cada vez es lenta y frágil e incluso las últimas MacOSs no son compatibles.
Entonces, ¿qué piensan ustedes? Tener dos capas de VPN realmente agrega seguridad? ¿Vale la pena el compromiso?