Bastion : Boundary d'HashiCorp

Oct 15, 2020 · 3 min de lecture · aws waf firewall securite  ·
Partagez sur:

Bastion d’HashiCorp

Le tout nouveau produit d’HashiCorp est sorti il y a quelques heures. Celui-ci est un bastion à la mode 2.0, c’est à dire bien différent des autres projets Opensource que l’on connait (sshpass, bastillion, etc.)

En effet, ce nouveau bastion à de nombreux avantages :

  • Une interface web simple et efficace
  • Une API très complète
  • Une CLI
  • Modulaire (controleurs et workeurs)
  • Hautement disponible
  • Gestion des révocations
  • Gestion de groupes d’hosts, groupes d’utilisateurs
  • RBAC
  • Secrets dynamique dans Vault
  • Une excellente documentation
  • On peut facilement le tester (via le mode développement)
  • Provider Terraform

Comment ça marche ?

Workflow Boundary

Les composants

Workflow components

OS supportés

  • Linux (Ubuntu/Debian CentOS Fedora et Amazon Linux)
  • Mac
  • Windows

L’installation

Pré-requis d’installation

  • Docker
  • Avoir puller l’image de PostgreSQL

L’installation en elle même est très simple, c’est un package (qui est en fait un binaire).

Je vous renvoi directement vers la documentation, car elle est très bien détaillée.

Mon feedback

Très beau travail opéré par la team HachiCorp ! Clairement des bastions OpenSource, il y en a très peu et celui-ci est convaincant.

Surtout pour les entreprises qui veulent une gestion centralisée, de la fédération, du HA, support des Cloud provider, etc.

Il y a évidemment Teleport, mais les fonctionnalités gratuite sont limités, pas de RBAC notamment, donc limitant, mais par contre il y a une fonctionnalité de session replay plutôt intéressante.

Bref, parlons de Boundary à présent.

Clairement, il fait le job pour une V0.10, en occurrence on a une gestion des hôtes, groupes d’hôtes, utilisateurs, groupes d’utilisateurs, RBAC, proxy, etc. Et en terme de connecteurs, on a du TCP seulement (SSH, RDP, PostgreSQL, mais d’autres à venir).

L’installation est très simple en mode développement pour un POC, pour la version prod-ready, c’est plus compliqué évidemment mais faisable en quelques minutes.

En quelques heures on peut le prendre en main, créer ses premières connexions et utilisateurs, mais évidemment il faut un peu plus de temps pour maitriser l’ensemble des fonctionnalités.

Je ne vous cache pas qu’il y a quelques bugs, mais ils sont très réactif, y compris sur leur forum.

Les énormes avantages de celle solution sont l’API et la datasource Terraform, qui permet de faire de l’infrastructure as code facilement.

Evolutions à venir

Logs

  • Audit logs pour avoir la liste des actions via l’API / IHM.
  • Access logs pour avoir la liste des connexions
  • Export vers ElasticSearch et autres plateformes

Métriques / Tracing

Support d’OpenTelemetry, ce qui sera parfait pour suivre l’activité avec précision.

Authentification

  • Gitlab
  • Github
  • AWS
  • Okta
  • Azure

Découverte des hôtes

Bientôt également l’auto discovery lié à Consul !

Conclusion

Je vais suivre de près cette solution et contribuer modestement, car elle mérite d’évoluer et concurrencer les acteurs professionnels qui facturent des milliers d’euros leurs solutions.

D’autres solutions OpenSource existent mais je fais confiance à HashiCorp pour pérenniser et professionnaliser cette solution.

Sources :