HashiCorp Boundary — это система шлюзов с открытым исходным кодом, которая обеспечивает пользователям безопасный доступ к динамическим хостам и критически важной инфраструктуре в нескольких средах.
Однако, если вам нужен простой и безопасный способ контроля доступа к базам данных, кластерам Kubernetes, облачным интерфейсам командной строки, коммутаторам, маршрутизаторам или внутренним веб-приложениям, вы можете рассмотреть другие сервисы.
В этой статье мы рассмотрим несколько альтернатив и обсудим сильные и слабые стороны каждой.
Итак, давайте проведем экспресс-анализ особенностей каждого сервиса, которые могут вас заинтересовать.
Граница ХашиКорп
Краткое описание:
HashiCorp выпустила Boundary в 2020 году в ответ на потребность пользователей Vault в решении для управления сеансами (в отличие от управление учетными данными ).Целью проекта является упрощение динамического процесса получения доступа к системе, особенно в высокоавтоматизированных средах, путем предоставления аутентифицированным и авторизованным пользователям доступа к сложным системам.
Он использует принцип наименьших привилегий, предоставляя разработчикам и операторам минимальный доступ, необходимый для выполнения необходимой работы.
Это ограничивает доступ к более крупным сетям, снижая риск взлома.
Boundary также отслеживает и регистрирует метаданные сеанса.
Примеры использования:
- Hashicorp Boundary — это бесплатная система безопасности на основе идентификации с открытым исходным кодом;
- Ролевая и логическая авторизация сервисов;
- Использует технологию единого входа для управления подключением и отключением;
- Интегрируется с существующими инструментами и API.
Плюсы:
- Каталоги динамических ресурсов;
- Планируемая интеграция с Terraform, AWS/GCP/Azure, Kubernetes для постоянного обновления каталогов на основе тегов в версии 0.2;
- Динамические учетные данные;
- Интеграция с Vault и другими сервисами посредством сквозных динамических учетных данных;
- Аутентифицируется поставщиком удостоверений во время использования.
Минусы:
- Инструменты могут сбивать с толку;
- Сложная установка со множеством движущихся частей.
У пользователей возникают проблемы с тем, что с чем запускать и как это интегрировать;
- Третий инструмент, Consul, необходим для управления услугами и межмашинного доступа.
Краткое описание:
сильныйDM — это уровень управления для контроля и мониторинга доступа к базам данных, серверам и Kubernetes. Их модель безопасности «Нулевое доверие» означает, что вместо распределения доступа по комбинации VPN, отдельных учетных данных базы данных, ключей SSH, StrongDM консолидирует управление пользователями в вашей существующей системе единого входа (Google, Onelogin, Duo, Okta и т. д.) и скрывает базовые учетные данные.Конечные пользователи не имеют доступа к учетным данным или ключам.
Поскольку StrongDM разбивает каждый протокол на компоненты, он также регистрирует все запросы к базе данных, выполненные сеансы SSH и RDP, а также активность кластера Kubernetes.
Примеры использования:
- Более быстрое соединение – не нужно вводить учетные данные базы данных, ssh-ключи и пароли VPN для каждого нового сотрудника;
- Безопасное завершение работы: приостановите единый вход один раз, чтобы отменить доступ ко всем базам данных и серверам;
- Автоматически применяет лучшие практики безопасности — минимальные привилегии, однодневные разрешения, контрольный журнал;
- Комплексные журналы — регистрируют каждое изменение разрешений, запросы к базе данных, команды ssh и kubectl.
Плюсы:
- Простая интеграция — самовосстанавливающаяся оркестрованная прокси-сеть, которая автоматически обнаруживает доступную базу данных, узлы ssh и кластеры Kubernetes;
- Никаких изменений в вашем рабочем процессе — используйте любой клиент SQL, инструмент CLI или BI;
- Стандартизированные журналы для любого типа базы данных, сервера Linux или Windows и Kubernetes;
- Графический клиент для Windows и MacOS;
- Смотрите и воспроизводите все действия с помощью записей сеансов;
- Управление через удобный интерфейс веб-браузера;
- Простые и понятные цены.
Минусы:
- Требуется постоянный доступ к API StrongDM для доступа к управляемым ресурсам.
Краткое описание:
Gravitational Teleport обеспечивает управление привилегированными пользователями (PAM) в облачных инфраструктурах.Teleport — это прокси-сервер для доступа и аутентификации API SSH и Kubernetes. Он был задуман как замена sshd и в настоящее время работает с существующими клиентами и серверами OpenSSH. Он позволяет администраторам настраивать доступ групп пользователей и отдельных пользователей к группам серверов, называемым «кластерами», а также реализует управление доступом на основе ролей (RBAC) для предоставления разных уровней доступа к различным кластерам.
Учетные данные отдельных серверов недоступны пользователям, что снижает административные последствия ротации и удаления учетных данных.
Версия Teleport Community Edition с открытым исходным кодом аналогична версии Enterprise, за следующими исключениями:
- Нет RBAC;
- Нет интеграции единого входа;
- Платная поддержка недоступна.
Примеры использования:
- Ролевое управление доступом;
- Используйте существующие инструменты управления идентификацией;
- Записывает всю активность сеанса в проверяемых журналах.
Плюсы:
- Открытый источник;
- Бесплатно;
- Предоставляет пользователям безопасный доступ к ресурсам.
Минусы:
- Отсутствие контрактной поддержки, поскольку продукт бесплатный;
- Программное обеспечение Teleport должно быть запущено на каждом сервере, чтобы им можно было управлять через доступ к Teleport;
- Сложная настройка;
- Учетные данные пользователя назначаются для всего кластера, а не для каждого сервера;
- Вам необходимо настроить расширения для хранения журналов аудита (AWS S3/DynamoDB, а Teleport нужно для хранения журналов сеансов).
- Журналы аудита пользователей Teleport доступны только через пользовательский интерфейс или внутреннее хранилище;
- Комплексная модель ценообразования для версии Enterprise.
Краткое описание:
Бастионный узел, или «транзитный» узел — это просто сервер Linux/UNIX, который обеспечивает доступ к сложным серверам/базам данных, требуя от пользователя сначала войти в бастионный узел, а затем «перейти» к дополнительным ресурсам в сети, контролируемой бастионом.Бастионный узел обычно выполняет только функции безопасности и чаще обновляется и проверяется для обеспечения безопасности сети.
Организациям необходимо настроить дополнительный сервер, доступный из внешних источников и способный подключаться к внутренним ресурсам.
Примеры использования:
- Посредник доступа к защищенным ресурсам в ограниченном сегменте сети;
- Приложения баз данных и аналогичные инструменты могут работать через хост-бастион, используя переадресацию портов через соединение SSH;
- На компьютере установлена последняя версия системы безопасности, а на компьютере обычно установлено программное обеспечение для обнаружения вторжений.
Плюсы:
- Очень доступный вариант – по цене специализированного компьютера;
- Предоставляет пользователям доступ к ресурсам через SSH.
Минусы:
- Поскольку любой доступ к защищенным ресурсам требует предварительного входа в систему через командную строку на хосте бастиона, пользователь должен иметь учетную запись бастиона и определенный уровень технической хватки, особенно при использовании переадресации портов для доступа к базе данных;
- Если узел-бастион становится точкой отказа и становится недоступным, все ресурсы, находящиеся за ним, также становятся недоступными.
Настройка нескольких узлов-бастионов для предотвращения такой возможности означает использование другого набора учетных данных управления;
- В случае возникновения проблем поддержка ограничивается той поддержкой, которая доступна для базовой ОС, работающей на узле-бастионе;
- Журналы сеансов и активность базы данных/других протоколов не записываются.
-
Преимущества Систем Управления Базами Данных
19 Oct, 24 -
Кеттеринг, Чарльз Франклин
19 Oct, 24 -
Мтс Отключит Торренты
19 Oct, 24 -
Старые Компоненты
19 Oct, 24 -
Русский Язык Против It
19 Oct, 24 -
Оптимальная Клавиатура
19 Oct, 24
