Scribble at 2024-10-24 13:19:50 Last modified: unmodified
[Abstract on NotebookLM] Cloudflare は、従来の SSH アクセスのセキュリティリスクを軽減するために、短い有効期限を持つ SSH 証明書を利用した新しいソリューション「Access for Infrastructure」を発表しました。これは、Zero Trust の原則を基に、ユーザーがサーバーにアクセスする際に、認証、認可、監査の機能を強化し、SSH キーの管理を簡素化することで、セキュリティの向上と運用効率の改善を実現します。従来の SSH では、長期間有効なキーが盗難されるリスクや、権限の拡大によるセキュリティリスクがありましたが、Access for Infrastructure では、短期間有効な証明書によってこれらのリスクを大幅に削減し、ユーザーのアクセスをより安全に管理することができます。また、SSH コマンドログの記録機能も提供することで、セキュリティ違反発生時の調査を容易にし、コンプライアンス対応にも役立ちます。
NotebookLM が出力した概要を上のように引用することにした。ここではソースを読んでる前提で投稿内容を書き始めることも多いので、いきなり話題を展開し始めても、なんのことかわからない人が多いと思うからだ。
さて、弊社でも、少なくとも僕が建てるウェブ・サーバではコーダだろうとデザイナーだろうとファイルの転送は scp over ssh を必須にしていて、ftp などというレガシーなプロトコルでのアクセスは15年以上も前に(ちょうど Gumblar が流行した頃だ)廃止している。もちろん、クライアントの用意したサーバで対応できない場合はしょうがないし、逆に接続元 IP アドレスを制限しつつ OTP と組み合わせた認証方法で VPN を使ったアクセスを求めるクライアントもある。
ssh でも、鍵を使う方法もあれば、従来のパスワード認証でアクセスする場合もあり、弊社ではパスワード認証でのアクセスも許容している。はっきり言えば、弊社に限ったことではなく、コーダやデザイナーやウェブ・ディレクターに鍵の管理や運用は難しいからだ。それに、上記のような期間限定の鍵なんて運用しはじめても、例の「定期的なパスワード変更」みたいな都市伝説と同じであって、漏洩するような環境を改められない状況のユーザに鍵を頻繁に交換させても意味がない。