HashiCorp 开源 Boundary:安全访问主机和关键系统

栏目:技术教程 发布时间 2020-10-16 人气 

来源:https://www.oschina.net/news/119206/hashicorp-boundary

TAG:无

侵权:admin@heimacode.com

免责声明:本文图片引用自网络,如有侵权请联系我们予以删除

黑码网发布此文仅为传递信息,不代表黑码网认同其观点。

简介:HashiCorp 宣布开源Boundary,此项目可帮助运维人员及从业者通过细粒度的授权安全地访问动态主机和服务,无需管理凭据或公开网络。Boundary 旨在使用最小特权原则 (POLP, principle of least privilege) 授予对关键系统的访问权限,以解决组织或企业在用户需要安全访问应用程序和机器时遇到的挑战。传统授予系统访问权限的产品非常繁琐,维护起来非常麻烦,甚至...

HashiCorp 宣布开源 Boundary,此项目可帮助运维人员及从业者通过细粒度的授权安全地访问动态主机和服务,无需管理凭据或公开网络。

Boundary 旨在使用最小特权原则 (POLP, principle of least privilege) 授予对关键系统的访问权限,以解决组织或企业在用户需要安全访问应用程序和机器时遇到的挑战。

传统授予系统访问权限的产品非常繁琐,维护起来非常麻烦,甚至部分产品的黑匣子缺少可扩展的 API。而 Boundary 则允许经过身份验证和授权的可信用户访问专用网络中的安全系统,无需授权访问这些系统所在的公开网络。

典型的传统产品工作流:

从上图可以看到,一旦用户进入专用网络,他们便获得访问任何系统的权限,而不仅仅是目标系统。如果用于访问 VPN 或 SSH 主机的凭据丢失或被盗,那么攻击者就获取了访问整个网络的权限。为了防范此类风险,传统工作流通常会在专用网络中部署防火墙,以限制用户可以访问的内容。

然而管理内部防火墙是一件费时费力的事,因此授予系统访问权限的产品从一开始就应遵循最小特权原则。Boundary 在设计之初就已考虑到这些核心问题:以最小权限授予对关键系统的访问权。

Boundary 的目标旨在简化安全访问主机和服务的工作流,同时减少与传统解决方案相关的风险和攻击面。使用 Boundary,访问基于用户的可信身份而不是他们的网络位置而进行。用户连接到 Boundary 并进行身份验证,然后根据被分配的角色,他们可以连接到可用的主机、服务或云资源。

Boundary 对每个请求进行身份验证和授权,在应用层将用户与服务或主机进行映射。无需管理 VPN 凭据或 SSH 堡垒主机密钥,从而简化进入系统的手续,降低了凭据泄露的风险。

Boundary 提供了一种易于使用、与平台无关的方式,通过基于可信身份的单一工作流,可跨云、Kubernetes 或 Nomad 集群以及内部数据中心访问所有主机和服务。运维人员可以删除硬编码的凭据和防火墙规则,并使访问控制更加动态。

闪点 新厂区 明朝 佳友在线 最全 抖动 解放军报 质点 合并 雾化 双人 低俗 使君 紧缺人才 电源 则会 安装了 靓妹 弧形 环路 花卉 性价比 神话 欢锛屽叏姘慘姝岀敤 增长了 该行 无核 黑果小冰 点到 之魂 首席执行官 风之 度假村 大佛 电子产品 一直卡 到期 限量版 挠曲 鹰眼 周转箱 手镯 越秀 报警系统 要买 透了 大批量 dl 雅图 预约 小树苗 剑法 原位 不中 直升机 隔振 照度 生活服务 工价 芯片组 安徽 代理人 干细胞 四六级 生孩子 封包 伴奏 无须 压力表 拉伸 之光 维修 天启 几何 标准化 估值 粗纤维 余额 贝尔格莱德 家庭成员 销售点 去找 中国电信 示弱 Siri 百度搜索 江铃 紫光 免税品 排污泵 盗版 审阅 见性 丙酮 栏中 片儿 闪躲 地幔 衍生 超多
资源来源网络,若未解决请查看原文

本文地址:https://www.heimacode.com/article/60448.html