HashiCorp开源Boundary:安全访问动态主机服务

PHP是最好的 2020-10-16 10:16:59 ⋅ 939 阅读

HashiCorp 宣布开源 Boundary,此项目可帮助运维人员及从业者通过细粒度的授权安全地访问动态主机和服务,无需管理凭据或公开网络。

Boundary 旨在使用最小特权原则 (POLP, principle of least privilege) 授予对关键系统的访问权限,以解决组织或企业在用户需要安全访问应用程序和机器时遇到的挑战。

传统授予系统访问权限的产品非常繁琐,维护起来非常麻烦,甚至部分产品的黑匣子缺少可扩展的 API。而 Boundary 则允许经过身份验证和授权的可信用户访问专用网络中的安全系统,无需授权访问这些系统所在的公开网络。

典型的传统产品工作流:

HashiCorp开源Boundary:安全访问动态主机服务

 

从上图可以看到,一旦用户进入专用网络,他们便获得访问任何系统的权限,而不仅仅是目标系统。如果用于访问 VPN 或 SSH 主机的凭据丢失或被盗,那么攻击者就获取了访问整个网络的权限。为了防范此类风险,传统工作流通常会在专用网络中部署防火墙,以限制用户可以访问的内容。

然而管理内部防火墙是一件费时费力的事,因此授予系统访问权限的产品从一开始就应遵循最小特权原则。Boundary 在设计之初就已考虑到这些核心问题:以最小权限授予对关键系统的访问权。

Boundary 的目标旨在简化安全访问主机和服务的工作流,同时减少与传统解决方案相关的风险和攻击面。使用 Boundary,访问基于用户的可信身份而不是他们的网络位置而进行。用户连接到 Boundary 并进行身份验证,然后根据被分配的角色,他们可以连接到可用的主机、服务或云资源。

HashiCorp开源Boundary:安全访问动态主机服务

 

Boundary 对每个请求进行身份验证和授权,在应用层将用户与服务或主机进行映射。无需管理 VPN 凭据或 SSH 堡垒主机密钥,从而简化进入系统的手续,降低了凭据泄露的风险。

HashiCorp开源Boundary:安全访问动态主机服务

 

Boundary 提供了一种易于使用、与平台无关的方式,通过基于可信身份的单一工作流,可跨云、Kubernetes 或 Nomad 集群以及内部数据中心访问所有主机和服务。运维人员可以删除硬编码的凭据和防火墙规则,并使访问控制更加动态。


全部评论: 0

    我有话说:

    安全攻防系列一 安全基础概念

      该系列记录学习极客时间–安全攻防技能30讲相关内容 安全的本质 安全的本质就是保护数据被合法地使用。 数据:应用最核心的东西;如用户信息、订单信息等等 合法:大到法律法规、业务

    开源资讯】JWCloud 专业版 v1.0.0 发布,基于 SpringCloud 研发的微服务框架

    简介 JavaWeb_Cloud 微服务平台是一款基于 SpringCloud 框架研发的分布式微服务框架,主要使用技术栈包括: SpringCloud、Vue、ElementUI

    「转载」微服务分布式架构中,如何实现日志链路跟踪?

    背景 开发排查系统问题用得最多的手段就是查看系统日志,在分布式环境中一般使用ELK来统一收集日志,但是在并发大时使用日志定位问题还是比较麻烦,我们来看下面的图     上图

    一分钟认识服务网关zuul及案例实操

    在微服务架构模式下后端服务的实例数一般是动态的,对于客户端而言很难发现动态改变的服务实例的访问地址信息。

    Apache APISIX 2.4 发布,云原生的微服务 API 网关

    Apache APISIX 2.4 已经发布。Apache APISIX 是一个云原生微服务 API 网关,它提供了高性能、安全开源和可扩展的平台,基于 Nginx 和 etcd,支持动态路由和插

    开源资讯」大型微服务系统管理工具,Istio 了解下

    Istio 是一个由谷歌、IBM 与 Lyft 共同开发开源项目,旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。

    你的老板逼你上微服务了吗?

    “ 这些年软件的设计规模越来越庞大,业务需求也越来越复杂,针对系统的性能、高吞吐率、高稳定性、高扩展等特性提出了更高的要求。   图片来自 Pexels可以说业务需求是软件架构能力的第一推动力,由于这些因素导致了软件架构思想和相关技...

    开源资讯」陌陌安全团队开源Java静态代码审计插件

    陌陌安全本次开源的Java静态代码安全审计插件,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。 此插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险

    开源推荐」Nginx可视化配置工具—NginxWebUI,小白也可以玩转

    包括http协议转发, tcp协议转发, 反向代理, 负载均衡, ssl证书自动申请、续签、配置等

    NGINX Unit 1.22 发布,动态 Web 应用服务器

    NGINX Unit 是一个多语言应用服务器、反向代理和静态文件服务器,可用于类 Unix 系统。它是由 nginx 团队成员从头开始构建的,并且在运行时具有很高的效率且可全方位配置。 Unit

    Nginx Unit 1.21.0 发布,动态 Web 应用服务器

    Nginx Unit 1.21.0 已发布,更新内容除了常规的 bugfix 外,还增加了部分新特性,例如支持条件匹配的 PCRE 和多线程请求处理等。 因此,开发者现在可以调整每个应用程序进程中

    开源推荐】基于 Go 语言的轻量级高性能日志库 logit使用及测评

    logit 是一个简单易用并且是基于级别控制的日志库,可以应用于所有的 GoLang 应用程序中。

    Istio 1.8.3 发布,大型微服务系统管理工具

    Istio 1.8.3 已发布,Istio 是一个由谷歌、IBM 与 Lyft 共同开发开源项目,旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。具体来说,Istio 是一个开源服务网格

    Google 将仅允许使用 OAuth 访问账户,开发者懵了

    真的是在保护 Google 帐户的安全性

    Nginx服务器高性能优化--轻松实现10万并发访问

    作者:章为忠学架构https://www.toutiao.com/i6804346550882402828 前面讲了如何配置Nginx虚拟主机,如何配置服务日志等很多基础的内容,大家可以去这里看看

    SpringBoot2.0填坑(一):使用CROS解决跨域并解决swagger 访问不了问题

    公司后台是采用SpringBoot2.0 搭建的微服务架构,前端框架用的是vue 使用前后端分离的开发方式,在开发联调的时候需要进行跨域访问,那么使用CROS解决了跨域问题,但是swagger 却用

    开源资讯】cppweb 1.0.2 发布,基于 C++ 开发的 Web 服务器

    cppweb是一个基于C++开发的 WEB 服务器,支持C/C++、Python、Java等多语言混合开发WEB应用。 cppweb同时也是一个跨平台的微服务开发框架,通过两个核心组件