介绍teleport
综述
首次接触teleport是为了平台的权限管理进行调研,起初的主要的目标是给k8s加上一层安全防护,是整个团队的运维行为可回溯并符合零信任安全模型。
k8s周边也有一些权限相关的项目,但分析完发现,teleport适用的场景其实很广,对于整个安全合规都有重要的价值,包括对服务器、数据库、k8s、windows桌面、web应用等。
最让我震撼的一点是teleport的架构设计与我在2021年中的时候准备提交的一篇专利的思想十分符合,这篇专利因为当时所在公司的专利处理效率太低,交底书提交了半年多依然没处理,后来我离职了就不再关注这个事情。
我的专利交底书
核心相似点是 反向代理加包装一层权限控制,局限是只考虑了SSH协议。
项目简介
定位为3A系统(认证、授权、审计)相对4A系统少一个账号管理,这块能力其实是有的,但比较推荐直接和第三方对接如github。通过将github用户加入指定的team中,并对team的权限进行配置。可以实现权限管理,加上一些自动化手段,就能实现chatops动态申请权限。
teleport提供社区版(个人认为100人以内的公司和团队,搞个2c4g的vm部署就绰绰有余)、企业版云服务(这块费用需要私人定制的,不是特别透明)
功能
- 服务器
- 数据库
- k8s
- web应用
- windows桌面
特性分析
- 权限管理
- SSO
- MFA
- RBAC
- 动态权限控制(要加钱)
- 操作记录
- 实时记录
- 事后审查
- 审计