[Перевод] Альтернативы HashiCorp Boundary

4jgizeztzq7j-q1qvgixx8ot9l4.jpeg

HashiCorp Boundary — это пропускная система с открытым исходным кодом, которая обеспечивает пользователю безопасный доступ к динамическим хостам и критически важной инфраструктуре в разных средах. Однако, если вам нужен простой и безопасный способ управления доступом к базам данных, кластерам Kubernetes, облачным интерфейсам командной строки, коммутаторам, маршрутизаторам или внутренним веб-приложениям, можно рассмотреть и другие сервисы. В этой статье, мы рассмотрим несколько альтернатив и обсудим сильные и слабые стороны каждой из них. Итак, сделаем экспресс-анализ фичей каждого сервиса, которые, возможно, вас заинтересуют.


Краткое описание:

HashiCorp выпустила Boundary в 2020 году в ответ на потребность пользователей Vault в решении для управления сеансами (в противопоставление управлению учетными данными). Проект направлен на упрощение динамического процесса получения доступа к системе, особенно в средах с высокой степенью автоматизации, путем предоставления аутентифицированным и авторизованным пользователям доступа к сложным системам. Он использует принцип наименьших привилегий, предоставляя разработчикам и операторам минимальный доступ, достаточный для выполнения требуемой работы. Это ограничивает доступ к более крупным сетям, снижая риск взлома. Boundary также отслеживает и регистрирует метаданные сеанса.


Примеры использования:


  • Hashicorp Boundary — это бесплатная система безопасности с открытым исходным кодом на основе идентификационных данных;
  • Ролевая и логическая авторизация сервисов;
  • Использует технологию единого входа для управления подключения и отключения;
  • Интегрируется с существующими инструментами и API.


Плюсы:


  • Каталоги динамических ресурсов;
  • Запланированная интеграция с Terraform, AWS / GCP / Azure, Kubernetes для постоянного обновления каталогов на основе тегов в v0.2;
  • Динамические учетные данные;
  • Интеграция с Vault и другими посредством сквозных динамических учетных данных;
  • Аутентифицируется с помощью поставщика удостоверений в процессе использования.


Минусы:


  • Инструменты могут сбивать с толку;
  • Сложная установка с множеством «движущихся частей». Пользователи испытывают проблемы с тем что запускать вместе с чем и как это интегрировать;
  • Требуется третий инструмент, Consul, для управления службами и межмашинным доступом.


Краткое описание:

strongDM — это управляющий уровень по контролю и мониторингу доступа к базам данных, серверам и Kubernetes. Их модель безопасности «Zero Trust» означает, что вместо распределения доступа по комбинации VPN, отдельных учетных данных для баз данных, ключей SSH, strongDM объединяет управление пользователями в существующей системе единого входа (Google, Onelogin, Duo, Okta и т. Д.) и сохраняет базовые учетные данные скрытыми. Конечные пользователи не имеют доступа ни к учетным данным, ни к ключам. Поскольку strongDM разбирает каждый протокол на составляющие, он также регистрирует все запросы к базе данных, выполненные сеансы SSH и RDP и активность кластеров Kubernetes.


Примеры использования:


  • Более быстрое подключение — нет необходимости вводить учетные данные базы данных, ssh ключи и пароли VPN для каждого нового сотрудника;
  • Безопасное отключение — приостановите доступ к системе единого входа один раз, чтобы отозвать все базы данных и доступ к серверу;
  • Автоматически применяет лучшие практики безопасности — минимальные привилегии, однодневные разрешения, журнал аудита;
  • Комплексные журналы — регистрирует каждое изменение разрешений, запросы к базе данных, команды ssh и kubectl.


Плюсы:


  • Простое интегрирование — самовосстанавливающаяся упорядоченная сеть прокси-серверов, которая автоматически обнаруживает доступную базу данных, узлы ssh и кластеры Kubernetes;
  • Никаких изменений в рабочем процессе — используйте любой клиент SQL, интерфейс командной строки или BI инструмент;
  • Стандартизированные журналы для любого типа базы данных, сервера Linux или Windows, и Kubernetes;
  • Графический клиент для Windows и MacOS;
  • Смотрите и воспроизводите все действия с записями сеанса;
  • Управляйте через дружелюбный интерфейс веб-браузера;
  • Простые и понятные расценки.


Минусы:


  • Требует постоянный доступ к strongDM API для доступа к управляемым ресурсам.


Краткое описание:

Gravitational Teleport обеспечивает контроль привилегированных пользователей (PAM) в облачных инфраструктурах. Teleport — это прокси-сервер для доступа и аутентификации к SSH и Kubernetes API. Он задумывался как замена sshd, пока и работает с существующими клиентами и серверами OpenSSH. Он позволяет администраторам настраивать доступ группам пользователей и отдельным пользователям к группам серверов, называемым «кластерами», и реализует управление доступом на основе ролей (RBAC), чтобы обеспечить разные уровни доступа к разным кластерам. Индивидуальные учетные данные сервера недоступны для пользователей, что снижает административные последствия ротации и удаления учетных данных.

Версия Teleport Community Edition с открытым исходным кодом такая же, как и версия Enterprise, за следующими исключениями:


  • Нет RBAC;
  • Нет интеграции SSO;
  • Платная поддержка недоступна.


Примеры использования:


  • Контроль доступа на основе ролей;
  • Используйте существующие инструменты управления идентификацией;
  • Записывает всю активность сеанса в проверяемые журналы.


Плюсы:


  • Открытый код;
  • Бесплатно;
  • Предоставляет пользователям безопасный доступ к ресурсам.


Минусы:


  • Отсутствие контрактной поддержки т.к продукт бесплатный;
  • Программное обеспечение Teleport должно быть запущено на каждом сервере, чтобы управлять через Teleport access;
  • Сложная настройка;
  • Учетные данные пользователя назначаются для всего кластера, а не для каждого сервера;
  • Необходима настройка расширений для хранения журналов аудита (AWS S3 / DynamoDB, и Teleport она нужна для хранения журналов сеанса).
  • Журналы аудита пользователя Teleport доступны только через пользовательский интерфейс или внутреннее хранилище;
  • Комплексная модель расценок для версии Enterprise.


Краткое описание:

Узел-бастион, или, «транзитный» узел — это просто-напросто сервер Linux / UNIX, который обеспечивает доступ к сложным серверам / базам данных, требуя от пользователя сначала войти на узел-бастион, а затем «перепрыгнуть» к дополнительным ресурсам в сети, контролируемой бастионом. Узел-бастион обычно выполняет только функции безопасности и обновляется и проверяется чаще, для обеспечения безопасности сети.

Организациям необходимо настроить дополнительный сервер, который будет доступен из внешних источников и способен подключаться к внутренним ресурсам.


Примеры использования:


  • Посредник доступа к защищенным ресурсам в ограниченном сегменте сети;
  • Приложения баз данных и аналогичные инструменты могут работать через хост-бастион, используя переадресацию портов через SSH-соединение;
  • Последняя версия системы безопасности обновлена, и компьютер обычно включает программное обеспечение для обнаружения вторжений.


Плюсы:


  • Очень доступный вариант — по цене специализированного компьютера;
  • Предоставляет пользователям доступ к ресурсам через SSH.


Минусы:


  • Поскольку для любого доступа к защищенным ресурсам требуется сначала войти через командную строку на узел-бастион, пользователь должен иметь учетную запись на бастионе и определенный уровень технической сообразительности, особенно при использовании переадресации портов для доступа к базе данных;
  • Если узел-бастион стал точкой сбоя не доступен, все ресурсы, стоящие за ним также недоступны. Настройка нескольких узлов-бастионов для предотвращения этой возможности означает другой набор учетных данных для управления;
  • В случае возникновения проблем поддержка ограничивается любой поддержкой доступной для базовой ОС, работающей на узле-бастионе;
  • Журналы сеансов и активность базы данных / других протоколов не записываются.

© Habrahabr.ru