Cloudflare推出Access for Infrastructure SSH功能

Cloudflare最近宣布了Access for Infrastructure SSH功能，该功能用短期证书取代了传统的SSH密钥。这一新功能利用了BastionZero的集成，简化了SSH密钥的管理，并通过使用临时的短期证书增强了安全性。

传统SSH密钥的问题

传统上，用户生成SSH密钥对，并通过将公钥部署到服务器来获得访问权限。然而，管理这些长期有效的SSH密钥非常复杂，且存在被攻击者利用的风险，特别是在服务器数量庞大的企业环境中。

Access for Infrastructure SSH的工作原理

Access for Infrastructure SSH通过用户在Access登录时生成的令牌，向终端用户颁发短期证书，取代传统的SSH密钥。这种方式允许组织像管理其他应用程序一样管理SSH访问，强制执行多因素认证（MFA）、设备上下文和基于策略的访问控制。

安全性提升

Cloudflare强调，这种新方法的一个重要优势是能够将基础设施访问策略整合到安全访问服务边缘（SSE）或安全访问服务边缘（SASE）架构中，从而提升整体安全性。

日志记录的重要性

Cloudflare的产品总监Sharon Goldberg、高级产品经理Ann Ming Samborski和高级系统工程师Sebby Lipman指出，零信任原则要求组织跟踪谁在访问服务器以及他们在服务器上执行了哪些命令。这种日志记录对于提高安全性和可追溯性至关重要。

开发者社区的反馈

在Hacker News的讨论中，一些开发者对Cloudflare使用SSH代理基础设施提供零信任SSH访问的方法表示怀疑。他们质疑这种方案是否真正实现了零信任，因为用户必须信任Cloudflare的中间人（MitM）密钥记录器和其证书颁发机构（CA）。

竞争对手的解决方案

其他公司如Teleport和Smallstep也提供了基于身份的无秘密SSH解决方案，但Cloudflare是第一个通过收购BastionZero提供集成解决方案的云提供商。

用户反馈

Urban Dynamics的创始人兼CEO Ferris Ellis表示，这种新功能使得追踪谁在什么时间登录了机器以及他们在机器上执行了哪些操作变得非常容易，这对于可靠性和安全操作是一个巨大的胜利。

定价和可用性

Access for Infrastructure目前对少于50人的团队免费，并且也适用于现有的按需付费和合同计划客户，前提是他们拥有Access或零信任订阅。

总结

Cloudflare的Access for Infrastructure SSH功能通过引入短期证书和零信任原则，简化了SSH密钥管理并提升了安全性。尽管开发者社区对其实现方式存在一些质疑，但这一功能为企业提供了更高效、更安全的基础设施访问管理方案。