Startseite > Datacenter & Verkabelung > Drei Buchstaben - und viele offene Fragen

Kontrolle über SSH-Fernzugriffe

Drei Buchstaben - und viele offene Fragen

17. März 2017, 11:33 Uhr | Autor: Christian Kress / Redaktion: Axel Pomper

Administratoren weltweit fordern mehr Kontrolle über SSH-Fernzugriff. Ein scheinbar mäßig komplizierter Sachverhalt - doch längst nicht jeder weiß etwas damit anzufangen. Was wird eigentlich gewünscht? Und worüber reden wir genau, wenn wir von SSH-Verschlüsselung, -Zugriffen oder -Keys sprechen?

Zunächst geht es um die Ablösung der unverschlüsselten alten TCP/IP-Protokolle. Und diese Thematik betrifft heute nahezu jedes Linux- und Unix-System auf der Welt. Es geht aber auch um die aktiven Netzwerkkomponenten, wie Router und Switches, Loadbalancer und Firewall-Systeme. Allerdings sprechen wir auch von automatischen Diensten, wie Managed File Transfer, DevOps (z.B. Ansible), Monitoring und Cluster-Steuerung, um nur ein paar zu nennen. Und es geht um reale Personen – nämlich die Administratoren. Der Anteil an automatischer Kommunikation zwischen den Systemen hat durch die Entwicklung der Industrie 4.0 und das Internet der Dinge massiv zugenommen. Fast immer sprechen wir beim Einsatz von SSH über privilegierte Zugänge. Im Rahmen dieses Beitrags wollen wir uns jedoch zunächst auf den SSH-Zugang von Administratoren beschränken.

Was genau bedeutet Kontrolle?

Etwas genauer betrachtet hat Kontrolle sehr viel mit Transparenz, Nachvollziehbarkeit und den damit im Zusammenhang stehenden Prozessen zu tun, z.B.:

Ich weiß, wer Zugriff auf meine Systeme hat.
Ich weiß, wer auf meine Daten zugreift.
Ich weiß, wann auf meine Daten zugegriffen wurde.
Ich weiß, wie der Zugriff auf meine Daten erfolgt und was im Detail getan wurde.
Ich weiß, ob und warum der Zugriff auf meine Systeme noch notwendig ist.
Und ich weiß, wie ich den Zugriff kontrolliert wieder abbaue, ohne Gefahr zu laufen, die Hälfte der Zugänge zu vergessen.

Aber Fernzugriffe sind doch klar geregelt und ersichtlich, werden jetzt viele Leser denken. Logisch! Die sogenannte „Turnschuh-Administration“ gibt es heute in den seltensten Fällen, und damit ist jeder Zugriff im Prinzip ein Zugriff aus der Ferne. Also geht es um die ganz normalen Administratoren und um die Server in meinem Rechnerraum sowie die Server in meinem externen Rechenzentrum. Aber es geht auch um die Zugriffe auf meine externen Produktionssysteme durch Wartungspartner und um den Zugang von externen Dienstleistern in mein eigenes Netzwerk. Der Begriff der „Schatten-IT“ lässt grüßen. Und da wäre dann noch das Thema des geregelten Zugangs zu Cloud-Systemen, die inhaltliche Überprüfung und Nachvollziehbarkeit von SLAs (Service Level Agreements). Nicht zuletzt spielen vielleicht auch meine eigenen Zugriffe als Service Provider meiner Kundensysteme eine Rolle.