Queremos dar a un tercero externo acceso a un entorno de demostración. ¿Cómo nos aseguramos de que solo ellos accedan solo a su versión del entorno?

Navega tus respuestas
1

Actualmente estamos configurando un sistema donde podemos crear entornos de demostración para que los clientes potenciales puedan usar, donde alojamos esos entornos de demostración en nuestra propia DMZ. La idea es que si un cliente potencial quiere probar nuestro producto, creamos un entorno para él y luego lo hacemos para que solo pueda acceder a ese entorno.

Algunos detalles:

  • El entorno es CentOS 7;
  • El producto consta de 2 GUI alojadas en el entorno, respaldadas por una serie de servicios que también se ejecutan en el entorno;
  • La perspectiva debería tener un acceso mayormente completo al entorno (no a la raíz, sino a cosas como interactuar con el sistema de archivos, hacer cambios en algunos de los programas);
  • Tendremos un entorno separado por cliente potencial y un cliente potencial solo debería poder acceder a un entorno.

El objetivo de este sistema es reemplazar principalmente nuestro proceso actual propenso a errores y laborioso de ayudar a la perspectiva a configurar el sistema en su red local.

El problema que tenemos es que debemos otorgarle a la perspectiva acceso al entorno a través de Internet, pero de tal manera que solo ellos puedan acceder a ese entorno en particular al que están asignados. No queremos que otra persona que no sea el prospecto acceda al entorno del prospecto, y no queremos que el prospecto acceda al entorno de otro prospecto, y DEFINITIVAMENTE no a otras máquinas en nuestra DMZ.

Nuestra idea actual para resolver esto es mediante el uso de la autenticación de clave privada, que de lo que recopilamos es la forma adecuada de permitir el acceso de una sola parte. Sin embargo, todavía necesitamos una forma segura de entregar el archivo clave a la perspectiva, que a menudo está demasiado lejos para entregarlo en persona.

entonces 2 preguntas:

  1. ¿Existe una manera segura de proporcionarle a un cliente potencial un archivo de claves si no puede entregarlo en persona?
  2. relacionado: ¿es la autenticación basada en archivos clave la mejor manera de otorgar acceso a un solo sistema a un solo sistema?
pregunta Nzall 19.05.2017 - 11:30
fuente

2 respuestas

1

Podría virtualizar todo, crear una red virtual para un solo entorno de demostración e implementar un entorno por usuario. De hecho, puede utilizar la autenticación basada en clave para acceder al entorno. Una vez que el usuario ha revisado la demostración, destruye el entorno.

Su automatización, si se hace correctamente, debería poder compilar, implementar, generar archivos clave y luego enviarlos a su cliente.

Normalmente esto funciona de forma un poco diferente. El cliente le proporcionaría su clave SSH pública y usted agregaría esta clave a su máquina en el ~/.ssh/authorized_keys .

    
respondido por el Lucas Kauffman 19.05.2017 - 11:58
fuente
1

Necesita una capa delante de todo lo que realiza la autenticación y la autorización. El usuario es autenticado y luego autorizado para acceder a cualquier entorno. Usted controla qué entorno de esta capa.

Desde una perspectiva técnica, lo he hecho implementando Apache Guacamole . Los usuarios se autentican utilizando la base de datos de Guacamole y el sistema autoriza la conexión a los diversos sistemas con claves mantenidas por Guacamole (los usuarios nunca ven las claves).

Incluso si no usa Guacamole, este es el tipo de cosas que está buscando implementar.

    
respondido por el schroeder 19.05.2017 - 12:22
fuente

Lea otras preguntas en las etiquetas

Resistencia a la manipulación de Android: ¿BuildConfig.DEBUG spoofing? Evaluación de riesgos - Probabilidad de robo de una ubicación física