Назад к блогу

Организация защищенного удаленного доступа с использованием OpenVPN и Keycloak

2 мин. чтения0 просмотровИИ-генерациябезопасность идентичностиmfaоценка рисковуправление поверхностью атакиeasm

Интеграция OpenVPN и Keycloak для усиления безопасности удаленного доступа: опыт одного из клиентов Yandex Cloud

В марте 2024 года Yandex Cloud опубликовал кейс, в котором один из клиентов реализовал решение для повышения безопасности удаленного доступа к внутренним сервисам, таким как Grafana, Prometheus и Elasticsearch, через VPN. Ранее в инфраструктуре клиента использовался Self-Hosted OpenVPN с аутентификацией по локальным учетным записям, что ограничивало масштабируемость и безопасность.

В рамках проекта клиент внедрил интеграцию OpenVPN с системой единой аутентификации Keycloak, поддерживающей протоколы OpenID Connect и SAML. В опубликованном кейсе отмечается, что базовый OpenVPN Community Edition не поддерживает нативную аутентификацию через OIDC/SAML, поэтому для организации единой аутентификации применялся внешний компонент — oauth2-proxy, который выступает в роли промежуточного сервера и обеспечивает аутентификацию пользователей через OpenID Connect с Keycloak.

Согласно описанию, возможная схема работы включает использование oauth2-proxy для аутентификации пользователей в браузере. После успешного входа проверенные учетные данные могут передаваться в OpenVPN через RADIUS-сервер или специализированный плагин внешней аутентификации. При этом сам OpenVPN-клиент не выполняет прямой веб-редирект на страницу входа Keycloak — обычно используется отдельный портал или механизм внешней аутентификации, интегрированный с VPN-сервером.

В результате реализации интеграции клиент получил следующие преимущества:

  • Централизованное управление пользователями и правами доступа через Keycloak.
  • Поддержка многофакторной аутентификации.
  • Гибкая настройка политик доступа, включая ограничения по ролям и времени.
  • Удобство для пользователей благодаря единому входу для всех сервисов, интегрированных с Keycloak.

В опубликованном материале также отмечается, что для успешной реализации важно уделить внимание архитектуре решения: определить, какие сервисы и пользователи будут подключаться, настроить соответствующие политики в Keycloak, а также обеспечить актуальность версий OpenVPN, Keycloak и используемых плагинов. Мониторинг и аудит аутентификационных событий рассматриваются как ключевые элементы для своевременного обнаружения аномалий.

Таким образом, кейс клиента Yandex Cloud демонстрирует, как с помощью интеграции OpenVPN и Keycloak через внешний компонент oauth2-proxy можно повысить безопасность удаленного доступа и упростить управление идентификацией в облачных инфраструктурах.

Поделиться:TelegramVK

Похожие статьи

Хакеры используют SEO-отравление и подписанные трояны для кражи учетных данных VPN

18 мар. 20263 мин. чтения1
управление поверхностью атакиeasmбезопасность идентичностивредоносное пооценка рисковуправление уязвимостями

Уязвимости в CloudCharge: риски для инфраструктуры зарядных станций и рекомендации для безопасности

2 мар. 20261 мин. чтения1
управление уязвимостямиоценка рисковуправление поверхностью атакиeasmбезопасность идентичности

Oracle выпустила срочное обновление для устранения критической уязвимости в Identity Manager

23 мар. 20262 мин. чтения1
безопасность идентичностиуправление уязвимостямиуправление поверхностью атакиeasmоценка рисков
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.