Bastion : Boundary d'HashiCorp

Bastion d’HashiCorp

Le tout nouveau produit d’HashiCorp est sorti il y a quelques heures. Celui-ci est un bastion à la mode 2.0, c’est à dire bien différent des autres projets Opensource que l’on connait (sshpass, bastillion, etc.)

En effet, ce nouveau bastion à de nombreux avantages :

  • Une interface web simple et efficace
  • Une API trés complète
  • Une CLI
  • Modulaire (controleurs et workeurs)
  • Hautement disponible
  • Gestion des révocations
  • Gestion de groupes d’hosts, groupes d’utilisateurs
  • RBAC
  • Secrets dynamique dans Vault
  • Une excellente documentation
  • On peut facilement le tester (via le mode developpement)
  • Provider Terraform

Comment ça marche ?

Workflow Boundary

Les composants

Workflow components

OS supportés

  • Linux (Ubuntu/Debian CentOS Fedora et Amazon Linux)
  • Mac
  • Windows

L’installation

Pré-requis d’installation

  • Docker
  • Avoir puller l’image de PostgreSQL

L’installation en elle même est trés simple, c’est un package (qui est en fait un binaire).

Je vous renvoi directement vers la documentation, car elle est très bien détaillée.

Mon feedback

Trés beau travail opéré par la team HachiCorp ! Clairement des bastions OpenSource, il y en a trés peu et celui-ci est convaincant.

Surtout pour les entreprises qui veulent une gestion centralisée, de la fédération, du HA, support des Cloud provider, etc.

Il y a évidément Teleport, mais les fonctionnalités gratuite sont trés limités, pas de RBAC notamment, donc limitant, mais par contre il y a une fonctionnalité de session replay plutôt intéressante.

Bref, parlons de Boundary à présent.

Clairement, il fait le job pour une V0.10, en occurence on a une gestion des hôtes, groupes d’hôtes, utilisateurs, groupes d’utilisateurs, RBAC, proxy, etc. Et en terme de connecteurs, on a du TCP seulement (SSH, RDP, PostgreSQL, mais d’autres à venir).

L’installation est trés simple en mode développement pour un POC, pour la version prod-ready, c’est plus compliqué évidemment mais faisable en quelques minutes.

En quelques heures on peut le prendre en main, créer ses premiéres connexions et utilisateurs, mais évidemment il faut un peu plus de temps pour maitriser l’ensemble des fonctionnalités.

Je ne vous cache pas qu’il y a quelques bugs, mais ils sont trés réactif, y compris sur leur forum.

Les énormes avantages de celle solution sont l’API et la datasource Terraform, qui permet de faire de l’infrastructure as code trés facilement.

Evolutions à venir

Logs

  • Audit logs pour avoir la liste des actions via l’API / IHM.
  • Access logs pour avoir la liste des connexions
  • Export vers ElasticSearch et autres plateformes

Métriques / Tracing

Support d’OpenTelemetry, ce qui sera parfait pour suivre l’activité avec précision.

Authentification

  • Gitlab
  • Github
  • AWS
  • Okta
  • Azure

Découverte des hôtes

Bientôt également l’auto discovery lié à Consul !

Conclusion

Je vais suivre de près cette solution et contribuer modestement, car elle mérite d’évoluer et concurencer les acteurs professionnels qui facturent des milliers d’euros leurs solutions.

D’autres solutions OpenSource existent mais je fais confiance à HashiCorp pour péréniser et professionnaliser cette solution.

Sources :