人偶安全和网络拓扑
背景: 我终于留出一些时间来参加21世纪,看看Puppet。 到目前为止,我们对办公室内部存储库中的所有服务器配置进行版本控制。需要进行更新时,将更改重新签到存储库中,然后手动将其推送到有问题的计算机上。这通常意味着将SFTP移至远程计算机,然后将具有相关权限的文件从Shell移到适当位置。 因此,我希望Puppet将成为我们现有内容的简单而又令人惊奇的扩展。 现在,我考虑我们目前必须相当安全的过程。假设我们的内部网络将始终比数据中心中的公共网络更加安全。 该过程始终是一种方式。变更从安全的环境遍历到不安全的环境,反之亦然。 总店位于最安全的地方。通过窃取配置或发出恶意修改而造成危害的风险大大降低了。 题: 根据我对Puppet服务器/客户端模型的了解,客户端直接从服务器轮询并提取更新。流量是用SSL包装的,因此无法被拦截或欺骗。但这与我们目前的做法有所不同,因为Puppet服务器需要托管在公共位置。可以集中管理,也可以每个中心维护一个。 所以我想知道: 我是否对从推到拉的变化感到不必要的偏执? 我是否对将所有这些信息集中存储在公共网络上感到不必要的偏执? 其他人如何维护多个网络-每个站点使用单独的服务器? 更新30/07/09: 我猜想我的另一个大问题是必须信任一台机器。人偶管理员将被防火墙保护,固定等。但是即使如此,任何具有侦听服务的公共计算机都具有一定规模的攻击面。 据推测,如果主服务器有权更新任何一个clients客户端上的任何文件,那么这种妥协最终将导致其所有客户端的妥协。可以说是“王国之王”。 这个假设正确吗? 有什么办法可以减轻它?