Граница

• Что такое Граница: https://developer.hashicorp.com/boundary/docs/overview/what-is-boundary
• Сайт: https://www.boundaryproject.io/
• Форумы: HashiCorp Discuss
• Документация: https://boundaryproject.io/docs
• Уроки: Платформа обучения HashiCorp

Граница — это прокси-сервер, оснащённый функциями идентификации, который обеспечивает простой и безопасный способ доступа к хостам и критическим системам на вашей сети.

С помощью Границы вы можете:

• Интегрировать с вашим IdP выбора с помощью OpenID Connect, что позволяет пользователям безопасно входить в свою среду Границы
• Предоставлять временный доступ к сетевым ресурсам, где бы они ни находились
• Управлять сессионными учетными данными через встроенный статический хранилище учетных данных или динамически генерировать уникальные учетные данные для каждой сессии, интегрируясь с HashiCorp Vault
• Автоматизировать обнаружение новых конечных точек
• Управлять привилегированными сессиями с помощью средств управления сессиями Границы
• Стандартизировать процесс доступа вашей команды с помощью последовательного опыта для любого типа инфраструктуры на любой платформеГраница разработана для того, чтобы быть простой в понимании, масштабируемой и устойчивой. Она может работать в облаках, на локальных серверах, в безопасных узлах и т.д., и не требует установки агента на каждом конечном устройстве, что делает её подходящей для доступа к управляемым/облачным службам и контейнерным рабочим процессам, а также к традиционным хостам и службам.

Для получения дополнительной информации обратитесь к разделу "Что такое Граница?" на сайте Границы.

Начало работы

Граница состоит из двух серверных компонентов:

• Контроллер, который предоставляет API и координирует запросы сессий
• Рабочие, которые выполняют управление сессиями

В реальном мире установка Границы, вероятно, будет включать один или несколько контроллеров, работающих вместе с одним или несколькими рабочими. Одно и то же исполняемое файл Границы может работать в одном или обоих этих режимах. Кроме того, Boundary предоставляет клиент для рабочего стола и CLI для конечных пользователей для запроса и установки авторизованных сессий к ресурсам через сеть.

Boundary не требует установки программного обеспечения на ваших узлах и службах.

Требования

Boundary имеет две внешние зависимости:

• SQL-база данных
• По крайней мере один KMS

SQL-база данных

База данных содержит конфигурацию и информацию о сессиях Boundary. Узлы-контроллеры должны иметь возможность доступа к базе данных.Значения, являющиеся секретами (например, учетные данные), шифруются в базе данных. В настоящее время поддерживается PostgreSQL как база данных, и она была протестирована с PostgreSQL 12 и выше.Граница использует только общие расширения, и поддерживаются как размещенные, так и саморазмещенные экземпляры. В большинстве случаев вам потребуется только конечная точка базы данных и соответствующие учетные данные.

KMS

Граница использует ключи KMS для различных целей, таких как защита секретов, аутентификация рабочих узлов, восстановление данных, шифрование значений в конфигурации Границы и т.д. Граница использует производные ключи для предотвращения избыточности этих ключей высокой ценности.

Вы можете использовать любую облачную KMS или движок транзитных секретов Vault для удовлетворения требований KMS.

Попробуйте Границу

Запуск Границы в более постоянном контексте требует выполнения нескольких дополнительных шагов, таких как написание простых конфигурационных файлов для указания узлам, как им достичь их базы данных и KMS. Ниже приведены шаги, а также дополнительная информация, необходимая для постоянных установок, подробно описаны в нашей Инструкции по установке.> ⚠️ Не используйте ветку main за исключением случаев разработки или тестирования. Boundary 0.10 ввел ветки выпуска, которые безопасно можно отслеживать, однако миграции в main могут быть переименованы, если это необходимо. Команда Boundary не сможет предоставить помощь, если использование main в течение длительного времени приведет к сбоям миграций или другим ошибкам.### Скачайте и запустите с страницы релизов

Скачайте последнюю версию серверного бинарного файла и соответствующего клиентского приложения для рабочего стола с нашей страницы загрузок

Быстрый старт с режимом разработки Boundary

Boundary имеет режим dev, который можно использовать для тестирования. В режиме dev можно запустить как контроллер, так и worker одним командом, и они обладают следующими свойствами:

• Контроллер запускает контейнер PostgreSQL Docker для использования в качестве хранилища. Этот контейнер будет остановлен и удален, если это возможно, при грациозном завершении работы контроллера.
• Контроллер использует внутренний KMS с эфемерными ключами.

Сборка из исходного кода

Если вы соответствуете следующим локальным требованиям, вы можете быстро запустить Boundary:

• Go v1.21 или выше
• Docker
• Либо зависимости UI Boundary для локальной сборки ui-ресурсов либо gh cli для загрузки предварительно собранных ui-ресурсов.

Просто выполните:

make install

Это соберет Boundary. (Первый раз, когда это будет выполнено, он загрузит и скомпилирует ui-ресурсы, что займет несколько дополнительных минут.) После завершения запустите Boundary в режиме dev:

$GOPATH/bin/boundary dev

Важно отметить, что разработка может требовать других инструментов; для установки набора инструментов, используемых командой Boundary, выполните: make tools

Без выполнения этого шага вы можете столкнуться с ошибками при выполнении make install. Важно также отметить, что использование make tools установит различные инструменты, используемые для разработки Boundary, в стандартную директорию Go-бинарников; это может перезаписать или иметь приоритет над инструментами, которые уже установлены на системе.

Запуск Boundary

Запустите серверный бинарник с помощью:

boundary dev

Это запустит службу контроллера, прослушивающую http://127.0.0.1:9200 для входящих запросов API, и службу worker, прослушивающую http://127.0.0.1:9202 для входящих запросов сессий. Также будут созданы различные ресурсы по умолчанию и отображены полезные данные, такие как имя пользователя и пароль, которые можно использовать для аутентификации.

Настройка ресурсовДля простого теста Boundary в режиме dev вам обычно не нужно настраивать какие-либо ресурсы! Но полезно понимать, что сделал режим dev для вас, чтобы вы могли предпринять дальнейшие шаги. По умолчанию режим dev создает:

• Глобальный диапазон для начальной аутентификации, содержащий метод аутентификации типа Пароль, а также аккаунт для входа.
• Организационный диапазон под глобальным, и проектный диапазон внутри организации.
• Каталог узлов с умолчательным набором узлов, который сам содержит узел с адресом локальной машины (127.0.0.1).
• Целевой узел, отображающий набор узлов на набор параметров подключения, с умолчательным портом 22 (например, SSH).

Вы можете изменить эти значения по умолчанию через веб-интерфейс Boundary или с помощью его API, например, если вы хотите подключиться к другому хосту или изменить порт подключения.### Установка соединения

Давайте теперь установим соединение с вашим локальным демоном SSH через Boundary:

1. Аутентифицируйтесь в Boundary; используя значения по умолчанию dev, это будет boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password. (Обратите внимание, что если вы не включите флаг password, вы будете запрошены на ввод его.)
2. Выполните команду boundary connect ssh -target-id ttcp_1234567890. Если вы хотите изменить имя пользователя, передайте -username <name> команде.

Просмотрите возможности конфигурации целевых объектов для тестирования ограничений (или увеличения) количества соединений на сессию или установки максимального времени подключения; попробуйте отменить активную сессию с помощью страницы сессий или командой boundary sessions, создайте свои собственные команды с помощью boundary connect -exec и т.д.

Дальнейшие шаги

Этот пример является простым способом для начала, но он опускает несколько ключевых шагов, которые могут быть выполнены в производственной среде:* Использование брандмауэра или других средств для ограничения набора хостов, разрешенных для подключения к локальному сервису, только Boundary Worker узлам, тем самым делая Boundary единственным способом входа на хост

• Использование поставщика Boundary для Terraform для легкой интеграции Boundary с вашей существующей инфраструктурой на основе кода
• Указание BI-инструмента (PowerBI, Tableau и т.д.) на хранилище данных Boundary для генерации инсайтов и поиска аномалий с точки зрения доступа к сессиям----

Обратите внимание: Мы очень серьезно относимся к безопасности Boundary и доверию наших пользователей. Если вы считаете, что нашли проблему безопасности в Boundary, пожалуйста, сообщите об этом ответственно по адресу security@hashicorp.com.

Вклад

Спасибо за ваш интерес к вкладу! Пожалуйста, обратитесь к CONTRIBUTING.md для руководства.