boundary

• Qué es el límite: https://developer.hashicorp.com/boundary/docs/overview/what-is-boundary
• Sitio web: https://www.boundaryproject.io/
• Foros: Hashicorp discutir
• Documentación: https://boundaryproject.io/docs
• Tutoriales: plataforma de aprendizaje de Hashicorp

Boundary es un proxy consciente de la identidad que proporciona una forma simple y segura de acceder a hosts y sistemas críticos en su red.

Con el límite puedes:

• Integre con su IDP de elección utilizando OpenID Connect, lo que permite a los usuarios iniciar sesión de forma segura en su entorno límite
• Proporcione acceso de red justo a tiempo a los recursos de red, donde sea que residan
• Administre las credenciales de sesión a través de una tienda de credenciales estáticas nativas, o genere dinámicamente credenciales por sesión únicas integrándose con Hashicorp Vault
• Automatizar el descubrimiento de nuevos puntos finales
• Administrar sesiones privilegiadas utilizando los controles de sesión de Boundary
• Estandarizar el flujo de trabajo de acceso de su equipo con una experiencia consistente para cualquier tipo de infraestructura en cualquier proveedor

El límite está diseñado para ser sencillo de entender, altamente escalable y resistente. Puede ejecutarse en nubes, enclaves seguros, en el precio y más, y no requiere que se instale un agente en cada host final, lo que lo hace adecuado para el acceso a servicios administrados/en la nube y flujos de trabajo basados ​​en contenedores, además de los sistemas y servicios de host tradicionales.

Para obtener más información, consulte "¿Qué es el límite?" en el sitio web de límites.

El límite consta de dos componentes del servidor:

• Controlador , que atiende a las solicitudes de sesión de API y coordenadas
• Trabajadores , que realizan el manejo de sesiones

Una instalación límite del mundo real probablemente consistirá en uno o más controladores emparejados con uno o más trabajadores. Un solo binario límite puede actuar en cualquiera de estos dos modos.

Además, Boundary proporciona un cliente de escritorio e CLI para que los usuarios finales soliciten y establezcan sesiones autorizadas a los recursos en una red.

El límite no requiere que el software se instale en sus hosts y servicios.

El límite tiene dos dependencias externas:

• Una base de datos SQL
• Al menos un kms

La base de datos contiene información de configuración y sesión de límites. Los nodos del controlador deben poder acceder a la base de datos.

Los valores que son secretos (por ejemplo, credenciales) están encriptados en la base de datos. Actualmente, PostgreSQL es compatible como una base de datos y se ha probado con Postgres 12 y superior.

El límite utiliza solo extensiones comunes y se admiten instancias alojadas y autogestionadas. En la mayoría de los casos, todo lo que necesita es un punto final de la base de datos y las credenciales apropiadas.

El límite utiliza claves KMS para diversos fines, como proteger los secretos, autenticar a los trabajadores, recuperar datos, encriptar valores en la configuración del límite y más. El límite utiliza la derivación clave ampliamente para evitar la expansión clave de estas claves de alto valor.

Puede usar cualquier motor Cloud KMS o Vault's Transit Secrets para satisfacer el requisito de KMS.

Ejecutar el límite en un contexto más permanente requiere algunos pasos más, como escribir algunos archivos de configuración simples para decirles a los nodos cómo llegar a su base de datos y KMS. Los pasos a continuación, junto con la información adicional necesaria para instalaciones permanentes, se detallan en nuestra guía de instalación.

️ No use la rama main excepto los casos de desarrollo o de prueba. El límite 0.10 introdujo las ramas de liberación que deberían ser seguras para rastrear, sin embargo, las migraciones en main pueden volver a numerarse si es necesario. El equipo de límites no podrá brindar asistencia si ejecutar main a largo plazo da como resultado roturas de migración u otros errores.

Descargue la última versión de los clientes de escritorio binarios y apropiados del servidor desde nuestra página de descargas

El límite tiene un modo dev que puede usar para las pruebas. En el modo dev , puede iniciar un controlador y un trabajador con un solo comando, y tienen las siguientes propiedades:

• El controlador inicia un contenedor Docker PostgreSQL para usar como almacenamiento. Este contenedor se cerrará y eliminará, si es posible, cuando el controlador se cierre con gracia.
• El controlador usa un KMS interno con claves efímeras

Si cumple con los siguientes requisitos locales, puede ponerse en funcionamiento rápidamente con el límite:

• GO V1.21 o más
• Estibador
• O las dependencias de la interfaz de usuario límite para construir localmente los activos de la interfaz de usuario o la CLI de GH para descargar activos de UI preconstruidos.

Simplemente ejecute:

make install

Esto construirá límites. (La primera vez que se ejecuta esto buscará y compilará activos de interfaz de usuario; que tomarán unos minutos adicionales). Una vez completado, ejecute el límite en modo dev :

$GOPATH/bin/boundary dev

Tenga en cuenta que el desarrollo puede requerir otras herramientas; Para instalar el conjunto de herramientas en las versiones utilizadas por el equipo de límites, ejecute:

make tools

Sin hacerlo, puede encontrar errores mientras se ejecuta make install . También es importante tener en cuenta que el uso make tools instalará varias herramientas utilizadas para el desarrollo de límites en el directorio binario GO normal; Esto puede sobrescribir o tener prioridad sobre las herramientas que ya pueden instalarse en el sistema.

Inicie el binario del servidor con:

boundary dev

Esto iniciará un servicio de controlador escuchando en http://127.0.0.1:9200 para solicitudes de API entrantes y un servicio de trabajadores que escucha en http://127.0.0.1:9202 para solicitudes de sesión entrantes. También creará varios recursos predeterminados y mostrará varias piezas útiles de información, como un nombre de inicio de sesión y una contraseña que se pueden usar para autenticarse.

¡Para una prueba simple de límite en el modo dev , generalmente no necesita configurar ningún recurso! Pero es útil comprender lo que hizo el modo dev por usted para que luego pueda dar más pasos. Por defecto, el modo dev creará:

• El alcance global para la autenticación inicial, que contiene un método de autenticación de tipo contraseña, junto con una cuenta para el inicio de sesión.
• Un alcance de la organización bajo global , y un alcance del proyecto dentro de la organización.
• Un catálogo de host con un conjunto de host predeterminado, que contiene un host con la dirección de la máquina local ( 127.0.0.1 )
• Un objetivo de mapeo del host en un conjunto de parámetros de conexión, con un puerto predeterminado de 22 (por ejemplo, SSH)

Puede entrar en la interfaz de usuario web de Boundary o usar su API para cambiar estos valores predeterminados, por ejemplo, si desea conectarse a un host diferente o necesita modificar el puerto en el que conectarse.

A continuación, hagamos una conexión con su Daemon SSH local a través del límite:

1. Autenticar a límites; Usando los valores dev predeterminados, esta sería boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password . (Tenga en cuenta que si no incluye el indicador password , se le solicitará).
2. Ejecute boundary connect ssh -target-id ttcp_1234567890 . Si desea ajustar el nombre de usuario, pase -username <name> al comando.

Consulte las posibilidades de configuración de destino para probar (o aumentar) el número de conexiones por sesión o establecer un límite de tiempo máximo; Intente cancelar una sesión activa desde la página Sessions o mediante boundary sessions , haga sus propios comandos con boundary connect -exec , etc.

Este ejemplo es una forma simple de comenzar, pero omite varios pasos clave que podrían tomarse en un contexto de producción:

• Uso de un firewall u otro medio para restringir el conjunto de hosts permitidos para conectarse a un servicio local a solo nodos de trabajadores de límites, lo que hace que el límite sea el único medio de ingreso a un host.
• Uso del proveedor de TerraForm de límites para integrar fácilmente los límites con su infraestructura existente basada en código
• Señalando una herramienta BI (PowerBi, Tableau, etc.) en el almacén de datos de Boundary para generar ideas y buscar anomalías con respecto al acceso a la sesión

Tenga en cuenta : tomamos muy en serio la seguridad de Boundary y la confianza de nuestros usuarios. Si cree que ha encontrado un problema de seguridad en el límite, divulgue responsablemente contactándonos a [email protected].

¡Gracias por su interés en contribuir! Consulte la orientación de MD.