boundary

• O que é limite: https://developer.hashicorp.com/boundery/docs/overview/what-is-boundery
• Site: https://www.bounderyproject.io/
• Fóruns: Hashicorp Discuta
• Documentação: https://bounderyproject.io/docs
• Tutoriais: plataforma de aprendizado de Hashicorp

O limite é um proxy com reconhecimento de identidade que fornece uma maneira simples e segura de acessar hosts e sistemas críticos em sua rede.

Com limite, você pode:

• Integrar-se ao seu IDP de escolha usando o OpenID Connect, permitindo que os usuários entrem em seu ambiente de limite com segurança
• Forneça acesso de rede just-in-time a recursos de rede, onde quer que eles residam
• Gerenciar credenciais de sessão por meio de uma loja de credenciais estáticas nativas ou gerar credenciais exclusivas por sessão, integrando-se com Hashicorp Vault
• Automatizar a descoberta de novos terminais
• Gerenciar sessões privilegiadas usando os controles da sessão do limite
• Padronize o fluxo de trabalho de acesso de sua equipe com uma experiência consistente para qualquer tipo de infraestrutura em qualquer provedor

O limite foi projetado para ser simples de entender, altamente escalável e resiliente. Ele pode ser executado em nuvens, enclaves seguros e muito mais, e não exige que um agente seja instalado em todos os hosts, tornando-o adequado para acesso a serviços gerenciados/em nuvem e fluxos de trabalho baseados em contêineres, além dos sistemas e serviços host tradicionais.

Para mais informações, consulte "O que é limite?" no site de limites.

O limite consiste em dois componentes do servidor:

• Controlador , que serve a API e coordenar solicitações de sessão
• Trabalhadores , que realizam manuseio de sessão

Uma instalação de limites do mundo real provavelmente consistirá em um ou mais controladores emparelhados com um ou mais trabalhadores. Um binário de limite único pode atuar em ambos ou em ambos desses dois modos.

Além disso, o Boundy fornece um cliente de desktop e CLI para que os usuários finais solicitem e estabeleçam sessões autorizadas aos recursos em uma rede.

O limite não exige que o software seja instalado em seus hosts e serviços.

O limite tem duas dependências externas:

• Um banco de dados SQL
• Pelo menos um km

O banco de dados contém informações de configuração e sessão do limite. Os nós do controlador devem poder acessar o banco de dados.

Os valores que são segredos (por exemplo, credenciais) são criptografados no banco de dados. Atualmente, o PostgreSQL é suportado como um banco de dados e foi testado com o Postgres 12 e acima.

O limite usa apenas extensões comuns e instâncias hospedadas e auto-gerenciadas são suportadas. Na maioria dos casos, tudo o que você precisa é de um terminal de banco de dados e as credenciais apropriadas.

O limite usa teclas KMS para vários propósitos, como proteger segredos, autenticar trabalhadores, recuperar dados, criptografar valores na configuração do limite e muito mais. O limite usa a derivação da chave extensivamente para evitar a expansão das chaves dessas teclas de alto valor.

Você pode usar qualquer mecanismo de segredos de trânsito da Cloud KMS ou Vault para atender ao requisito do KMS.

A execução do limite em um contexto mais permanente requer mais algumas etapas, como escrever alguns arquivos de configuração simples para informar aos nós como alcançar seu banco de dados e KMS. As etapas abaixo, juntamente com as informações extras necessárias para instalações permanentes, são detalhadas em nosso guia de instalação.

️ Não use o ramo main exceto para casos de dev ou teste. Limite 0.10 Introduziu ramos de liberação que devem ser seguros para rastrear, no entanto, as migrações em main podem ser renumeradas, se necessário. A equipe de fronteira não poderá prestar assistência se a execução main a longo prazo resultar em quebras de migração ou outros bugs.

Faça o download do lançamento mais recente do (s) cliente (s) de desktop binis do servidor e apropriado da nossa página de downloads

O limite possui um modo dev que você pode usar para teste. No modo dev , você pode iniciar um controlador e trabalhador com um único comando, e eles têm as seguintes propriedades:

• O controlador inicia um contêiner PostgreSQL Docker para usar como armazenamento. Este contêiner será desligado e removido, se possível, quando o controlador for fechado graciosamente.
• O controlador usa um KMS interno com teclas efêmeras

Se você atender aos seguintes requisitos locais, poderá subir e correr rapidamente com limites:

• Vá v1.21 ou maior
• Docker
• As dependências da interface do usuário de limite para construir localmente os ativos da interface do usuário ou a CLI da GH para baixar ativos de interface do usuário pré-criados.

Basta correr:

make install

Isso criará limites. (A primeira vez que é executada, ele buscará e compilará ativos da interface do usuário; que levará alguns minutos extras.) Depois de concluir, execute o limite no modo dev :

$GOPATH/bin/boundary dev

Observe que o desenvolvimento pode exigir outras ferramentas; Para instalar o conjunto de ferramentas nas versões usadas pela equipe de limites, execute:

make tools

Sem fazer isso, você pode encontrar erros durante a execução make install . É importante observar também que o uso make tools instalará várias ferramentas usadas para o desenvolvimento de limites no diretório binário Go Normal Go; Isso pode substituir ou ter precedência sobre as ferramentas que já podem ser instaladas no sistema.

Inicie o servidor binário com:

boundary dev

Isso iniciará um serviço de controlador ouvindo em http://127.0.0.1:9200 para solicitações de API recebidas e um serviço de trabalhador ouvindo em http://127.0.0.1:9202 para solicitações de sessão de entrada. Ele também criará vários recursos padrão e exibirá várias informações úteis, como um nome de login e senha que podem ser usados ​​para autenticar.

Para um teste simples de limite no modo dev , você geralmente não precisa configurar nenhum recurso! Mas é útil entender o que o Modo dev fez para você, para que você possa tomar mais etapas. Por padrão, o modo dev criará:

• O escopo global para a autenticação inicial, contendo um método de autenticação do tipo senha, juntamente com uma conta de login.
• Um escopo da organização sob global e um escopo do projeto dentro da organização.
• Um catálogo host com um conjunto de host padrão, que contém um host com o endereço da máquina local ( 127.0.0.1 )
• Um alvo mapeando o host definido para um conjunto de parâmetros de conexão, com uma porta padrão de 22 (por exemplo, SSH)

Você pode entrar na interface do usuário da Web do limite ou usar sua API para alterar esses valores padrão, por exemplo, se desejar se conectar a um host diferente ou precisar modificar a porta na qual se conectar.

Em seguida, vamos realmente fazer uma conexão com o seu daemon ssh local via limite:

1. Autenticar ao limite; Usando valores dev padrão, isso seria boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password . (Observe que, se você não incluir o sinalizador password , você será solicitado.)
2. Executar boundary connect ssh -target-id ttcp_1234567890 . Se você deseja ajustar o nome de usuário, passe -username <name> para o comando.

Confira as possibilidades da configuração do destino para testar a limitação (ou aumentando) o número de conexões por sessão ou definindo um limite de tempo máximo; Tente cancelar uma sessão ativa na página de sessões ou por boundary sessions , faça seus próprios comandos com boundary connect -exec e assim por diante.

Este exemplo é uma maneira simples de começar, mas omite várias etapas importantes que podem ser tomadas em um contexto de produção:

• Usando um firewall ou outros meios para restringir o conjunto de hosts autorizados a conectar -se a um serviço local a apenas nós do trabalhador de fronteira, tornando assim a fronteira o único meio de entrada para um host
• Usando o provedor de terraform de limite para integrar facilmente limites à sua infraestrutura baseada em código existente
• Apontando uma ferramenta de BI (Powerbi, Tableau, etc.) no data warehouse da Boundary para gerar insights e procurar anomalias em relação ao acesso à sessão

Observação : levamos a segurança do limite e a confiança de nossos usuários muito a sério. Se você acredita que encontrou um problema de segurança no limite, divulgue com responsabilidade entrando em contato conosco em seguranç[email protected].

Obrigado pelo seu interesse em contribuir! Consulte Contribuindo.md para obter orientação.