HashiCorp开源Boundary:安全访问动态主机服务
HashiCorp 宣布开源 Boundary , 此项目可帮助运维人员及从业者通过细粒度的授权安全地访问动态主机和服务 , 无需管理凭据或公开网络 。
Boundary 旨在使用最小特权原则 (POLP, principle of least privilege) 授予对关键系统的访问权限 , 以解决组织或企业在用户需要安全访问应用程序和机器时遇到的挑战 。
传统授予系统访问权限的产品非常繁琐 , 维护起来非常麻烦 , 甚至部分产品的黑匣子缺少可扩展的 API 。 而 Boundary 则允许经过身份验证和授权的可信用户访问专用网络中的安全系统 , 无需授权访问这些系统所在的公开网络 。
典型的传统产品工作流:
文章插图
从上图可以看到 , 一旦用户进入专用网络 , 他们便获得访问任何系统的权限 , 而不仅仅是目标系统 。 如果用于访问 VPN 或 SSH 主机的凭据丢失或被盗 , 那么攻击者就获取了访问整个网络的权限 。 为了防范此类风险 , 传统工作流通常会在专用网络中部署防火墙 , 以限制用户可以访问的内容 。
然而管理内部防火墙是一件费时费力的事 , 因此授予系统访问权限的产品从一开始就应遵循最小特权原则 。 Boundary 在设计之初就已考虑到这些核心问题:以最小权限授予对关键系统的访问权 。
Boundary 的目标旨在简化安全访问主机和服务的工作流 , 同时减少与传统解决方案相关的风险和攻击面 。 使用 Boundary , 访问基于用户的可信身份而不是他们的网络位置而进行 。 用户连接到 Boundary 并进行身份验证 , 然后根据被分配的角色 , 他们可以连接到可用的主机、服务或云资源 。
文章插图
Boundary 对每个请求进行身份验证和授权 , 在应用层将用户与服务或主机进行映射 。 无需管理 VPN 凭据或 SSH 堡垒主机密钥 , 从而简化进入系统的手续 , 降低了凭据泄露的风险 。
文章插图
【HashiCorp开源Boundary:安全访问动态主机服务】Boundary 提供了一种易于使用、与平台无关的方式 , 通过基于可信身份的单一工作流 , 可跨云、Kubernetes 或 Nomad 集群以及内部数据中心访问所有主机和服务 。 运维人员可以删除硬编码的凭据和防火墙规则 , 并使访问控制更加动态 。
推荐阅读
- Flipper Zero将于下月发货:为极客打造的开源多功能小工具
- 完全开源、无专利掣肘,RISC-V会是芯片自主的关键解吗?| 年度行业研究
- 前瞻物联网产业全球周报第72期:腾讯云发布八款云原生系列产品,阿里发布开源量子模拟器“太章2.0”
- 打破开发壁垒,2020深度学习开发者峰会百度飞桨认证PPDE分享开源收获
- 小米11内核开源 支持多功能NFC和红外遥控
- 开源开发者尝试为任天堂N64主机带来了新的Linux内核移植
- 资源|微软亚洲研究院发布开源平台“群策 MARO”用于多智能体资源调度优化
- 联邦学习新时代即将到来?同盾科技FLEX协议开源
- 量子模拟器“太章2.0”开源,支持业界开发量子软硬件
- 开源开放 拥抱AI 百度吴甜揭秘飞桨的创新造物法则