如果您的组织使用SSH公钥，那么很可能您已经错放了一个。备份中或前员工的计算机上有一个文件，它允许持有者访问您的基础设施。如果您在员工之间共享SSH密钥，那么只有几个密钥就足以让攻击者访问您的整个系统。如果你不分享它们，很可能你的团队已经生成了这么多密钥，至少你早就不知道了一个。如果攻击者可以破坏您的一个客户机设备，很可能存在一个已知的"主机"文件，其中列出了使用计算机已包含的密钥可以轻松到达的每个目标。如果有人能够破坏团队成员的笔记本电脑，他们可以使用设备上缺少密码保护的密钥来获取敏感信息目的地。应该如果发生这种情况，您将如何响应并撤消丢失的SSH密钥？您是否有已生成的密钥的记帐？你会轮换SSH密钥吗？在整个组织中，您如何管理这一点？整个组织都在为客户服务，以至于必须毫不费力地采用安全性？Cloudflare Access去年推出了对SSH连接的支持，为团队连接到基础设施的方式带来零信任安全性。Access与IdP集成，通过在用户每次尝试连接到目标时强制执行基于身份的规则，为SSH连接带来SSO安全性资源。但是，一旦访问连接到服务器的用户，他们仍然必须依赖旧的SSH密钥来授权他们的帐户。从今天开始，我们很高兴能帮助团队消除这一需求，并用短期的SSH密钥替换静态SSH密钥证书。替换在传统的网络外围模型中，使用Cloudflare接入的专用网络，团队通过两个门来保护他们的基础设施：专用网络和SSH钥匙。那个专用网络要求任何试图连接到服务器的用户必须在同一个网络上，或对等的对等网络（如VPN）。然而，这也带来了一些风险。专用网络默认信任网络上的用户可以访问计算机。管理员必须主动对网络进行分段，或者使用控制列表保护基础设施的每一部分，以便从中向后工作默认值。CloudflareAccess从另一个方向开始保护基础设施：不应信任任何用户。相反，用户必须证明他们应该能够通过违约。我们去年，在Cloudflare Access中发布了对SSH连接的支持，以帮助团队离开网络外围模型，代之以对服务器的每个请求进行用户身份评估的模型。通过与流行的身份提供者集成，该解决方案还使团队能够将其SSO管道引入到SSH中流程。更换具有短期证书的静态SSH密钥用户通过SSH连接到服务器时，通常需要对其会话进行授权。他们试图访问的机器将有一组由用户或角色标识组成的配置文件。这些配置文件定义了用户能够执行的操作take.SSH文件进程提供了一些选项供用户登录配置文件。在某些情况下，用户可以使用用户名和密码组合登录。然而，大多数团队依赖于公钥证书来处理登录。要使用该流，管理员和用户需要先决条件步骤。优先对于连接，用户将生成一个证书并将公钥提供给管理员，然后管理员将配置服务器以信任证书，并将其与某个用户和权限集相关联。用户将证书存储在他们的设备上，并在最后一英里内显示它。然而，这就留下了SSO试图解决的所有问题解决：大多数团队不要强迫用户轮换证书。如果是这样的话，可能一年最多需要一次。这使得到核心基础设施的静态凭证在成百上千的地方挥之不去设备。用户负责在他们的设备上保护他们的证书。用户也可以负责撤销密码，而且组织也可以强制执行密码集中。撤销很难。团队必须管理CRL或OCSP平台，以确保不会丢失或被盗的证书用过。与Cloudflare Access，您可以将您的SSO帐户带到基础结构中的用户身份验证。没有静态键必须的。怎么做有用吗？为了构建这个系统，我们使用了三种工具：Cloudflare访问、Argo隧道和Workers。Access是一个策略引擎，它将身份提供者（如Okta或AzureAD）中的员工数据与您制定的策略相结合。基于这些策略，Access可以将对内部应用程序的访问限制为您选择的用户。了解如何使用相同的策略概念来控制通过SSH对服务器的访问并不遥远。你写了一个策略，我们用它来决定哪些员工应该能够访问哪些资源。然后我们生成一个短期证书，允许他们在最短的时间内访问该资源。如果从IdP中删除用户，他们对基础设施的访问也会被删除，天衣无缝。到实际上，我们使用另一个现有的Cloudflare工具：Argo Tunnel，通过我们的网络来收集流量。Argo Tunnel颠覆了传统的将服务器连接到Internet的模式。当您在一台机器上启动我们的守护进程时，它会与Cloudflare建立出站连接，然后您的所有流量都会通过这些连接流动。这使得计算机成为Cloudflare网络的一部分，而不必将计算机暴露在Internet上直接。为了HTTP使用情况下，Argo隧道只需要在服务器上运行。在访问SSH流的情况下，我们通过在服务器和最终用户的服务器上运行Argo隧道客户端cloudflared来代理SSH流量笔记本电脑。什么时候用户通过SSH连接到由Access for Infrastructure保护的资源，他们使用命令行工具cloudflared。cloudflared获取该主机名绑定的SSH流量，并根据SSH配置设置通过Cloudflare转发。不需要管道或命令包装。cloudflared启动一个浏览器窗口，并提示用户使用其SSO进行身份验证凭证。一次通过身份验证后，访问将根据您为该应用程序配置的策略检查用户的身份。如果允许用户访问资源，Access将生成一个JSON Web令牌（JWT），该令牌由Cloudflare签名并限定给用户和应用程序。Access通过cloudflared将该令牌分发给用户的设备，工具将其存储起来本地的。比如核心访问认证流，令牌验证是在我们每个数据中心运行的Cloudflare Worker构建的，这使得它既快速又高可用。工作人员使我们能够将这种SSH代理部署到Cloudflare的所有194个数据中心，这意味着对基础设施的访问通常会加快SSH会话的速度，而不是减慢它们的速度趴下。用如果启用了短期证书，则在客户端上运行的cloudflared实例将再执行一个步骤。cloudflared将该令牌发送到创建临时证书的Cloudflare证书签名端点。然后，用户的SSH流将令牌（用于通过访问进行身份验证）和用于对服务器进行身份验证的短期证书发送给服务器。与核心访问身份验证流一样，令牌验证是在每个数据中心运行的Cloudflare Worker构建的，这使得它既快速又高效有空。什么时候服务器接收请求后，根据该公钥验证短期证书，如果是可信的，则将用户身份授权给匹配的Unix用户。证书一旦颁发，有效期为2分钟，但是一旦会话发生，SSH连接可以持续更长时间开始了什么是终端用户体验吗？Cloudflare Access的SSH功能对最终用户完全透明，不需要任何独特的SSH命令、包装器或标志。相反，Access要求您的团队成员采取一些一次性步骤来获得开始时间：1。安装cloudflared daemon目标服务器上运行的轻量级软件用于通过Cloudflare代理来自团队成员设备的SSH连接。用户可以安装它与流行的软件包管理器，如brew或在这里提供的链接。或者，该软件是开源的，可以由管理员构建和分发。打印SSH配置更新和保存一旦最终用户安装了cloudflared，他们需要运行一个命令来生成新行来添加到SSH配置中文件：cloudflared accessssh config—主机名vm.example.com网站--short-live cert--hostname字段将包含访问后受保护资源的主机名或通配符子域。一旦运行，cloudflared将打印以下配置详细信息：Host vm.example.comProxyCommand bash-c'/usr/local/bin/cloudflared access ssh gen--主机名%h；ssh-tt%邮箱：cfpipe-vm.example.com>&2