在《保护云：第1部分》中，我们研究了CloudBeesManager凭据的开发人员的方法。在今天的文章中，我们将了解如何管理远程登录和远程的安全性发展。比如上一篇文章，因为我们的大部分基础设施都在Amazon Web Services environment（AWS）中，这篇文章将特别关注这一点平台。遥控serverloginone使用CloudBees平台即服务（PaaS）的主要优势是您不再需要管理服务器。使用我们的平台，开发人员可以使用最小的服务器开发、部署和扩展应用程序互动。但是，在幕后，CloudBees工程师确实需要管理服务器生命周期。不仅适用于运行客户代码的实例，还适用于web代理层、数据库、Git/SVN存储库和许多其他管理事务。在上一篇文章中，我们讨论了允许开发人员查看，或者管理这些服务器的生命周期的凭据。但是，我们还需要管理远程登录这些机器的能力，以执行维护或修复可能发生的问题。此外，我们需要限制来自外部世界的流量，以允许应用程序正常工作，但不允许恶意尝试闯入系统。锁定向下访问我们的第一个策略是大量使用EC2安全组和规则。我们的每个实例都有它所服务的特定角色，因此与反映该角色类型的特定安全组相关联。我们的应用服务器、代理层和数据库都有独立的EC2安全组。上云开发另外，我们的Jenkins主实例、执行器机器和代理层也有自己的EC2安全性团体。它在这些安全组中，我们可以将外部通信限制到所需的端口，然后还可以限制EC2安全组之间需要在内部"对话"的内部通信。例如，我们的web代理层允许来自端口80和443的外部流量，仅此而已。我们的应用服务器根本不允许外部通信，只允许连接到来自web代理层的特定端口。这种分层和锁定的方法确保了我们不会屈服于寻求后门进入我们的环境。后门当然，我们仍然需要进入系统的后门，以便我们自己的团队进入并执行管理任务。最常见的情况是，这包括到服务器的远程登录（SSH），但也包括对后端web接口的访问，以监视应用程序运行状况或观察应用程序指标以解决问题问题。到确保我们在这些后门周围保持尽可能多的安全，我们把它们都隐藏在一个只有CloudBees开发者才能访问的虚拟专用网络（VPN）后面。我们使用openvpn，这是一个基于用户空间的sslvpn，它通过UDP隧道传输流量。每个需要访问的开发人员都会获得一个访问VPN的私钥。一旦建立在VPN上，开发者现在就可以访问进入系统注释这并不意味着他们可以自动进入系统，而只是意味着他们可以访问进入系统的机制。举个例子：一旦在VPN上，开发人员就可以访问我们各种机器上的端口22（SSH）。但是，这并不意味着他们拥有实际登录到这些不同系统的访问密钥-这是一个单独的认证和分发机制，可以根据需要在基础。这个两层方法为我们提供了高级别的安全性，同时仍然保持开发的可用性团队。处理问题虽然VPN系统提供了安全性，但它仍然会成为摩擦源。维护，或者VPN系统本身的计划外中断，可能会使整个系统中的开发人员停止进度。在某种程度上，VPN成为我们团队处理系统级问题的单一故障点，如果他们发生。到处理这个问题，我们允许管理员对EC2安全组进行临时规则更改。如果VPN系统本身成为进展的瓶颈，这就有助于解决系统问题。例如，他们可以打开对开发人员可能使用的特定外部IP地址的SSH访问，以便在绕过VPN的同时登录。只有通过管理员。输入另外，我们的安全组规则每晚由外部脚本监控。脚本将安全组规则的状态与Git存储库中存储的已知状态相匹配；任何偏差都会被记录下来并生成电子邮件。这使得所有管理员都可以随时关注规则更改，并确保"临时"更改得到恢复，或者通过将其添加到"good"的Git存储库中而使其永久化规则。我们感觉我们的VPN方法，再加上根据已知标准对安全组规则进行持续审核，为我们的关键基础设施的外部访问提供了非常高级别的总体安全性。这反过来又为我们的客户提供了最高级别的安全性，以防入侵和潜在数据偷窃。进来我关于安全主题的第三篇也是最后一篇文章，我们将探讨如何管理对开发人员可能需要使用的外部服务的凭据访问，精英开发者CloudBeescloudbees.com阅读Caleb的Securing the Cloud blog中的第1部分和第3部分系列：固定云：第1部分-管理证书保护云：第3部分-凭据和密码策略