Альтернативы HashiCorp Boundary

HashiCorp Boundary — это пропускная система с открытым исходным кодом, которая обеспечивает пользователю безопасный доступ к динамическим хостам и критически важной инфраструктуре в разных средах. Однако, если вам нужен простой и безопасный способ управления доступом к базам данных, кластерам Kubernetes, облачным интерфейсам командной строки, коммутаторам, маршрутизаторам или внутренним веб-приложениям, можно рассмотреть и другие сервисы. В этой статье, мы рассмотрим несколько альтернатив и обсудим сильные и слабые стороны каждой из них. Итак, сделаем экспресс-анализ фичей каждого сервиса, которые, возможно, вас заинтересуют.

HashiCorp Boundary

Краткое описание:

HashiCorp выпустила Boundary в 2020 году в ответ на потребность пользователей Vault в решении для управления сеансами (в противопоставление управлению учетными данными). Проект направлен на упрощение динамического процесса получения доступа к системе, особенно в средах с высокой степенью автоматизации, путем предоставления аутентифицированным и авторизованным пользователям доступа к сложным системам. Он использует принцип наименьших привилегий, предоставляя разработчикам и операторам минимальный доступ, достаточный для выполнения требуемой работы. Это ограничивает доступ к более крупным сетям, снижая риск взлома. Boundary также отслеживает и регистрирует метаданные сеанса.

Примеры использования:

• Hashicorp Boundary — это бесплатная система безопасности с открытым исходным кодом на основе идентификационных данных;
• Ролевая и логическая авторизация сервисов;
• Использует технологию единого входа для управления подключения и отключения;
• Интегрируется с существующими инструментами и API.

Плюсы:

• Каталоги динамических ресурсов;
• Запланированная интеграция с Terraform, AWS / GCP / Azure, Kubernetes для постоянного обновления каталогов на основе тегов в v0.2;
• Динамические учетные данные;
• Интеграция с Vault и другими посредством сквозных динамических учетных данных;
• Аутентифицируется с помощью поставщика удостоверений в процессе использования.

Минусы:

• Инструменты могут сбивать с толку;
• Сложная установка с множеством «движущихся частей». Пользователи испытывают проблемы с тем что запускать вместе с чем и как это интегрировать;
• Требуется третий инструмент, Consul, для управления службами и межмашинным доступом.

strongDM

Краткое описание:

strongDM — это управляющий уровень по контролю и мониторингу доступа к базам данных, серверам и Kubernetes. Их модель безопасности "Zero Trust" означает, что вместо распределения доступа по комбинации VPN, отдельных учетных данных для баз данных, ключей SSH, strongDM объединяет управление пользователями в существующей системе единого входа (Google, Onelogin, Duo, Okta и т. Д.) и сохраняет базовые учетные данные скрытыми. Конечные пользователи не имеют доступа ни к учетным данным, ни к ключам. Поскольку strongDM разбирает каждый протокол на составляющие, он также регистрирует все запросы к базе данных, выполненные сеансы SSH и RDP и активность кластеров Kubernetes.

Примеры использования:

• Более быстрое подключение — нет необходимости вводить учетные данные базы данных,ssh ключи и пароли VPN для каждого нового сотрудника;
• Безопасное отключение — приостановите доступ к системе единого входа один раз, чтобы отозвать все базы данных и доступ к серверу;
• Автоматически применяет лучшие практики безопасности — минимальные привилегии, однодневные разрешения, журнал аудита;
• Комплексные журналы — регистрирует каждое изменение разрешений, запросы к базе данных, команды ssh и kubectl.

Плюсы:

• Простое интегрирование — самовосстанавливающаяся упорядоченная сеть прокси-серверов, которая автоматически обнаруживает доступную базу данных, узлы ssh и кластеры Kubernetes;
• Никаких изменений в рабочем процессе — используйте любой клиент SQL, интерфейс командной строки или BI инструмент;
• Стандартизированные журналы для любого типа базы данных, сервера Linux или Windows, и Kubernetes;
• Графический клиент для Windows и MacOS;
• Смотрите и воспроизводите все действия с записями сеанса;
• Управляйте через дружелюбный интерфейс веб-браузера;
• Простые и понятные расценки.

Минусы:

• Требует постоянный доступ к strongDM API для доступа к управляемым ресурсам.

Teleport (Community Edition или Enterprise)

Краткое описание:

Gravitational Teleport обеспечивает контроль привилегированных пользователей (PAM) в облачных инфраструктурах. Teleport — это прокси-сервер для доступа и аутентификации к SSH и Kubernetes API. Он задумывался как замена sshd, пока и работает с существующими клиентами и серверами OpenSSH. Он позволяет администраторам настраивать доступ группам пользователей и отдельным пользователям к группам серверов, называемым “кластерами”, и реализует управление доступом на основе ролей (RBAC), чтобы обеспечить разные уровни доступа к разным кластерам. Индивидуальные учетные данные сервера недоступны для пользователей, что снижает административные последствия ротации и удаления учетных данных.

Версия Teleport Community Edition с открытым исходным кодом такая же, как и версия Enterprise, за следующими исключениями:

• Нет RBAC;
• Нет интеграции SSO;
• Платная поддержка недоступна.

Примеры использования:

• Контроль доступа на основе ролей;
• Используйте существующие инструменты управления идентификацией;
• Записывает всю активность сеанса в проверяемые журналы.

Плюсы:

• Открытый код;
• Бесплатно;
• Предоставляет пользователям безопасный доступ к ресурсам.

Минусы:

• Отсутствие контрактной поддержки т.к продукт бесплатный;
• Программное обеспечение Teleport должно быть запущено на каждом сервере, чтобы управлять через Teleport access;
• Сложная настройка;
• Учетные данные пользователя назначаются для всего кластера, а не для каждого сервера;
• Необходима настройка расширений для хранения журналов аудита (AWS S3 / DynamoDB, и Teleport она нужна для хранения журналов сеанса).
• Журналы аудита пользователя Teleport доступны только через пользовательский интерфейс или внутреннее хранилище;
• Комплексная модель расценок для версии Enterprise.

Bastion Hosts

Краткое описание:

Узел-бастион, или, “транзитный” узел — это просто-напросто сервер Linux / UNIX, который обеспечивает доступ к сложным серверам / базам данных, требуя от пользователя сначала войти на узел-бастион, а затем «перепрыгнуть» к дополнительным ресурсам в сети, контролируемой бастионом. Узел-бастион обычно выполняет только функции безопасности и обновляется и проверяется чаще, для обеспечения безопасности сети.

Организациям необходимо настроить дополнительный сервер, который будет доступен из внешних источников и способен подключаться к внутренним ресурсам.

Примеры использования:

• Посредник доступа к защищенным ресурсам в ограниченном сегменте сети;
• Приложения баз данных и аналогичные инструменты могут работать через хост-бастион, используя переадресацию портов через SSH-соединение;
• Последняя версия системы безопасности обновлена, и компьютер обычно включает программное обеспечение для обнаружения вторжений.

Плюсы:

• Очень доступный вариант — по цене специализированного компьютера;
• Предоставляет пользователям доступ к ресурсам через SSH.

Минусы:

• Поскольку для любого доступа к защищенным ресурсам требуется сначала войти через командную строку на узел-бастион, пользователь должен иметь учетную запись на бастионе и определенный уровень технической сообразительности, особенно при использовании переадресации портов для доступа к базе данных;
• Если узел-бастион стал точкой сбоя не доступен, все ресурсы, стоящие за ним также недоступны. Настройка нескольких узлов-бастионов для предотвращения этой возможности означает другой набор учетных данных для управления;
• В случае возникновения проблем поддержка ограничивается любой поддержкой доступной для базовой ОС, работающей на узле-бастионе;
• Журналы сеансов и активность базы данных / других протоколов не записываются.