Operasyonel ekipler erişimin yayılmasının hızla arttığını biliyor. Sunucular, sanal makineler ve ağ donanımlarının tümü uygulamalı çalışma gerektirir ve her yeni sistem, yönetilecek daha fazla kimlik ekler. Bir kale sunucusu bu soruna düzen getirmeye çalışır. Altyapıya ssh aracılığıyla bağlanan sistem yöneticileri ve geliştiriciler için tek bir giriş noktası görevi görür. Bu model teoride eskidir ancak Bastion açık kaynak projesi, amaca yönelik oluşturulmuş bir erişim katmanının ne kadar ileri gidebileceğini göstermektedir.
Kimlik doğrulama için tek bir yer
The Bastion, özünde kullanıcılar ve üzerinde çalıştıkları sunucular arasına bir makine kümesi yerleştirir. Her ekip üyesinin kalede bir hesabı vardır. Bir veya daha fazla gruba ait olabilirler. Diğer taraftaki cihazların yalnızca bu grupları bilmesi ve bunlara güvenmesi yeterlidir; bu da kimlik çalışmasını basitleştirir ve bireysel sunucularda depolanması gereken hesap sayısını azaltır. Kullanıcılar kale aracılığıyla bağlanır ve kim olduklarını ve neye erişebileceklerini kontrol eder ve cihaz yalnızca grubun ne yapmasına izin verildiğini görür.
Proje, genel anahtar kimlik doğrulamasını destekliyor ve TOTP ve Yubico PIV anahtar kontrolleri gibi seçenekler ekliyor. Bu, kuruluşlara, filolarındaki her sistemde değişiklik yapmadan oturum açma akışlarının nasıl çalıştığı konusunda daha fazla kontrol sağlar.
Projenin bakımcıları sistemi, ortak ssh istemcilerinin giriş tarafında, standart sshd sunucularının ise çıkış tarafında çalışacağı şekilde kurdu. Bu, eski ve yeni ekipmanların bir karışımını çalıştıran ekiplere yardımcı olur. Eski cihazlar, dış kullanıcılar için zayıf protokollerin devre dışı bırakılmasıyla güvenlik duvarlarının arkasında kalabilir. Bastion ön taraftaki güçlü bağlantıyı yönetir ve zayıf olanı ağ içinde tutar.
Riski genişletmeden yetki devri
Bastion, ekiplerin görevleri hesaplara veya gruplara devretmesine olanak tanıyan ayrıntılı RBAC içerir. Bu, hesap yaşam döngülerini yönetmek için İK araçlarına veya dizin hizmetlerine bağlanabilir. Bir grup yöneticisi ACL’leri CMDB ile senkronize halde tutabilir. Otomatik işlemler ssh üzerinden bir JSON API aracılığıyla çalıştırılabilir. Bu, ekip iş akışlarının öngörülebilir olmasını sağlar ve yetkilendirme kurallarını tek bir yerde tutar. Proje scp, sftp, rsync ve diğer yaygın iş akışlarını yönettiğinden geliştiriciler ve yöneticiler her zamanki araçlarıyla çalışabilirler. Ayrıca etkileşimli ve etkileşimli olmayan oturum kaydını da destekler. Bu kayıtlar, birçok ekibin zaten nasıl kullanılacağını bildiği ttyrec dosyalarını kullanıyor. Günlük kaydı, SIEM araçlarının beslenmesini kolaylaştıran sistem günlüğü aracılığıyla gerçekleştirilir.
Bastion, kimlik doğrulama veya yetkilendirme sırasında veritabanlarına veya diğer harici hizmetlere güvenmez. Daha az dış bileşen, arıza süresine neden olabilecek daha az hareketli parça anlamına gelir. Kümeler etkin bir düzende çalışabilir, böylece her bir örnek kullanıma hazır kalır.
Ekiplerin kuruluşlar arasında bağlantı kurmasına yardımcı olmak
Bazı ekipler şirketler arasında çalışır. Bastion, iki burç arasında güven yaratan bölgeleri destekler. Her kuruluş kendi politikalarını yerinde tutarken kimlik doğrulama ve yetkilendirme bölünebilir. Proje aynı zamanda ağ API’lerini kullanan cihazlar için ortadaki adam incelemesiyle HTTPS proxy’lemeyi de destekliyor. Giriş ve çıkış şifreleri ayrılabilir, bu da eski ağ donanımına sahip ortamlarda önemli bir husustur.
The Bastion’ın arkasındaki fikir yeni değil ancak proje, insanların günlük çalışma şeklini değiştirmeden ne kadar kontrol ve gözetim eklenebileceğini gösteriyor. Dağınık sistemler ve kimlik sapması ile uğraşan geliştiriciler ve sistem yöneticileri için erişim yollarını öngörülebilir tek bir akışa geri getirmenin bir yolunu sunar.
Bastion GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Help Net Security’nin reklamsız aylık bültenine abone olun. Buradan abone olun!