boundary

• Qu'est-ce que la limite: https://developer.hashicorp.com/boundary/docs/overview/what-is-boundary
• Site Web: https://www.boundaryproject.io/
• Forums: Hashicorp Discutez
• Documentation: https://boundaryproject.io/docs
• Tutoriels: la plate-forme d'apprentissage de Hashicorp

Boundary est un proxy conscient de l'identité qui fournit un moyen simple et sécurisé d'accéder aux hôtes et à des systèmes critiques sur votre réseau.

Avec la limite, vous pouvez:

• Intégrez à votre IDP de choix à l'aide d'OpenID Connect, permettant aux utilisateurs de se connecter en toute sécurité à leur environnement limite
• Fournir un accès au réseau juste à temps aux ressources du réseau, partout où ils résident
• Gérer les informations d'identification de session via une boutique d'identification statique native, ou générer dynamiquement des informations d'identification par session en intégrant avec Hashicorp Vault
• Automatiser la découverte de nouveaux points de terminaison
• Gérer les séances privilégiées en utilisant les commandes de session de Boundary
• Standardiser le flux de travail d'accès de votre équipe avec une expérience cohérente pour tout type d'infrastructure à travers un fournisseur

La limite est conçue pour être simple pour comprendre, très évolutive et résiliente. Il peut s'exécuter dans des nuages, sur site, des enclaves sécurisés et plus encore, et ne nécessite pas qu'un agent soit installé sur chaque hôte, ce qui le rend adapté à l'accès aux services gérés / cloud et aux flux de travail basés sur les conteneurs en plus des systèmes et services d'hôtes traditionnels.

Pour plus d'informations, reportez-vous à "Qu'est-ce que la limite?" sur le site Web des limites.

La limite se compose de deux composants de serveur:

• Contrôleur , qui sert l'API et coordonne les demandes de session
• Les travailleurs , qui effectuent une gestion de session

Une installation limite réelle sera probablement composée d'un ou plusieurs contrôleurs associés à un ou plusieurs travailleurs. Un seul binaire limite peut agir dans ou les deux de ces deux modes.

De plus, Boundary fournit un client de bureau et une CLI pour les utilisateurs finaux pour demander et établir des sessions autorisées aux ressources d'un réseau.

Boundary ne nécessite pas d'installation de logiciels sur vos hôtes et services.

La limite a deux dépendances externes:

• Une base de données SQL
• Au moins un km

La base de données contient des informations de configuration et de session de la limite. Les nœuds du contrôleur doivent pouvoir accéder à la base de données.

Les valeurs qui sont des secrets (par exemple les informations d'identification) sont chiffrées dans la base de données. Actuellement, PostgreSQL est pris en charge en tant que base de données et a été testé avec Postgres 12 et plus.

Boundary utilise uniquement des extensions courantes et les instances hébergées et autogérées sont prises en charge. Dans la plupart des cas, tout ce dont vous avez besoin est un point de terminaison de la base de données et les informations d'identification appropriées.

Boundary utilise des clés KMS à diverses fins, telles que la protection des secrets, l'authentification des travailleurs, la récupération de données, le chiffrement des valeurs dans la configuration de la limite, etc. Boundary utilise largement la dérivation des clés pour éviter l'étalement des clés de ces clés de grande valeur.

Vous pouvez utiliser n'importe quel moteur de Secrets de Transit Cloud KMS ou Vault pour satisfaire l'exigence de KMS.

L'exécution de la limite dans un contexte plus permanent nécessite quelques étapes supplémentaires, telles que l'écriture de fichiers de configuration simples pour dire aux nœuds comment atteindre leur base de données et leur KMS. Les étapes ci-dessous, ainsi que les informations supplémentaires nécessaires aux installations permanentes, sont détaillées dans notre guide d'installation.

️ N'utilisez pas la branche main sauf pour les cas de développement ou de test. Boundary 0.10 a introduit les branches de libération qui devraient être sûres à suivre, cependant, les migrations dans main peuvent être renumérotées si nécessaire. L'équipe limite ne sera pas en mesure de fournir une assistance si l'exécution main à long terme entraîne des ruptures de migration ou d'autres bogues.

Téléchargez la dernière version du serveur binaire et client de bureau approprié à partir de notre page de téléchargement

Boundary a un mode dev que vous pouvez utiliser pour les tests. En mode dev , vous pouvez démarrer à la fois un contrôleur et un travailleur avec une seule commande, et ils ont les propriétés suivantes:

• Le contrôleur démarre un conteneur Docker PostgreSQL à utiliser comme stockage. Ce conteneur sera fermé et supprimé, si possible, lorsque le contrôleur est fermé gracieusement.
• Le contrôleur utilise un KMS interne avec des clés éphémères

Si vous répondez aux exigences locales suivantes, vous pouvez rapidement courir avec la limite:

• Aller v1.21 ou plus
• Docker
• Soit les dépendances de l'interface utilisateur des limites pour la construction locale des actifs d'interface utilisateur ou GH CLI pour le téléchargement des actifs d'interface utilisateur prédéfinis.

Courez simplement:

make install

Cela renforcera la limite. (La première fois que cela est exécuté, il va récupérer et compiler les actifs d'interface utilisateur; qui prendra quelques minutes supplémentaires.) Une fois terminé, exécutez la limite en mode dev :

$GOPATH/bin/boundary dev

Veuillez noter que le développement peut nécessiter d'autres outils; Pour installer l'ensemble des outils dans les versions utilisées par l'équipe limite, exécutez:

make tools

Sans cela, vous pouvez rencontrer des erreurs pendant l'exécution make install . Il est important de noter également que l'utilisation make tools installera divers outils utilisés pour le développement des limites au répertoire binaire GO normal; Cela peut écraser ou avoir la priorité sur des outils qui pourraient déjà être installés sur le système.

Démarrez le serveur binaire avec:

boundary dev

Cela démarrera un service de contrôleur écoutant sur http://127.0.0.1:9200 pour les demandes d'API entrantes et un service de travailleur écoutant sur http://127.0.0.1:9202 pour les demandes de session entrantes. Il créera également diverses ressources par défaut et affichera diverses informations utiles, telles qu'un nom de connexion et un mot de passe qui peuvent être utilisés pour s'authentifier.

Pour un test simple de limite en mode dev , vous n'avez généralement pas besoin de configurer des ressources du tout! Mais il est utile de comprendre ce que le mode dev a fait pour vous afin que vous puissiez ensuite prendre d'autres étapes. Par défaut, le mode dev créera:

• La portée global de l'authentification initiale, contenant une méthode Auth de type mot de passe, ainsi qu'un compte de connexion.
• Une portée de l'organisation sous global et une portée de projet à l'intérieur de l'organisation.
• Un catalogue d'hôte avec un ensemble d'hôte par défaut, qui contient lui-même un hôte avec l'adresse de la machine locale ( 127.0.0.1 )
• Une cible cartographier l'hôte défini sur un ensemble de paramètres de connexion, avec un port par défaut de 22 (par exemple SSH)

Vous pouvez entrer dans l'interface utilisateur Web de Boundary ou utiliser son API pour modifier ces valeurs par défaut, par exemple si vous souhaitez vous connecter à un autre hôte ou devez modifier le port sur lequel se connecter.

Ensuite, établissons en fait une connexion avec votre démon SSH local via la limite:

1. S'authentifiez à la frontière; En utilisant les valeurs dev par défaut, ce serait boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password . (Notez que si vous n'incluez pas l'indicateur password vous y serez invité.)
2. Exécutez boundary connect ssh -target-id ttcp_1234567890 . Si vous souhaitez ajuster le nom d'utilisateur, passez -username <name> à la commande.

Découvrez les possibilités de configuration cible pour tester la limitation (ou augmenter) le nombre de connexions par session ou la définition d'un délai maximum; Essayez d'annuler une session active à partir de la page Sessions ou via boundary sessions , créez vos propres commandes avec boundary connect -exec , etc.

Cet exemple est un moyen simple de commencer mais omet plusieurs étapes clés qui pourraient être prises dans un contexte de production:

• L'utilisation d'un pare-feu ou d'autres moyens pour restreindre l'ensemble des hôtes autorisés à se connecter à un service local pour unique
• Utilisation du fournisseur de terraform aux limites pour intégrer facilement la limite à votre infrastructure basée sur le code existante
• Pointer un outil BI (Powerbi, Tableau, etc.) chez Boundary's Data Warehouse pour générer des informations et rechercher des anomalies en ce qui concerne l'accès à la session

Veuillez noter : nous prenons très au sérieux la sécurité de Boundary et la confiance de nos utilisateurs. Si vous pensez que vous avez trouvé un problème de sécurité à la frontière, veuillez divulguer de manière responsable en nous contactant à [email protected].

Merci de votre intérêt à contribuer! Veuillez vous référer à contribution.md pour obtenir des conseils.