\nShare on linkedin<\/p>\n
![\"\"](\"https:\/\/bluetab.net\/wp-content\/uploads\/2020\/12\/Javier-Perez.jpg\" "\\"\\"")
<\/a><\/figure>\nJavier P\u00e9rez<\/a><\/h4>\nDevOps Engineer<\/p>\n![\"\"](\"https:\/\/bluetab.net\/wp-content\/uploads\/2020\/12\/Javieer-Rodriguez.jpg\" "\\"\\"")
<\/a><\/figure>\nJavier Rodriguez<\/a><\/h4>\nCloud DevOps<\/p>\n![\"\"](\"https:\/\/bluetab.net\/wp-content\/uploads\/2020\/08\/Jorge-Diego-150x150.jpg\")
<\/a><\/figure>\n Jorge de Diego<\/a><\/h4>\nCloud DevOps Engineer<\/p>\n
Despu\u00e9s de la \u00faltima HashiConf Digital, desde la Pr\u00e1ctica Cloud os queremos ense\u00f1ar una de las principales novedades que fueron presentadas: Boundary. En este post vamos a comentar qu\u00e9 es esta nueva herramienta, por qu\u00e9 es interesante, qu\u00e9 nos ha parecido y c\u00f3mo lo hemos probado.<\/p>\n
\u00bfQu\u00e9 es Hashicorp Boundary?<\/h2>\n
Hashicorp Boundary es, como ellos mismos declaran, una herramienta que permite acceder a cualquier sistema utilizando la identidad como pieza fundamental. \u00bfEsto qu\u00e9 significa? Tradicionalmente, cuando un usuario adquiere el permiso de acceder a un servicio remoto, tambi\u00e9n obtiene el permiso expl\u00edcito a la red donde se encuentra ubicado. Sin embargo, Boundary nos proporcionar\u00e1 un sistema basado en el m\u00ednimo privilegio posible cuando los usuarios necesitan acceder a aplicaciones o m\u00e1quinas. Por ejemplo, es una forma de acceder mediante SSH a un \u00fanico servidor utilizando como m\u00e9todo de autenticaci\u00f3n unas claves ef\u00edmeras.<\/p>\n
Esto quiere decir que Boundary limita a qu\u00e9 recursos te puedes conectar y adem\u00e1s gestiona los diferentes permisos y accesos a los recursos con una autenticaci\u00f3n.<\/p>\n
Es especialmente interesante porque en el futuro va a estar marcado por la fuerte integraci\u00f3n que tendr\u00e1 con otras herramientas de Hashicorp, especialmente con Vault para la gesti\u00f3n de credenciales, as\u00ed como con sus funciones de auditoria.<\/p>\n
Por si ten\u00e9is curiosidad, Hashicorp ha liberado el c\u00f3digo fuente de Boundary<\/a> el cual ten\u00e9is disponible en Github y la documentaci\u00f3n oficial la podr\u00e9is leer en su pagina web: boundaryproject<\/a>.<\/p>\n\u00bfC\u00f3mo hemos puesto a prueba Boundary?<\/h2>\n
Partiendo de un proyecto de Hashicorp de ejemplo<\/a>, se ha desarrollado una peque\u00f1a prueba de concepto que despliega Boundary en un escenario hybrid-cloud<\/em> en AWS y GCP. Aunque la arquitectura de referencia no dec\u00eda nada con respecto a este dise\u00f1o, nosotros hemos querido darle una vuelta y montar un peque\u00f1o escenario multi-cloud<\/em> para ver c\u00f3mo se comporta este nuevo producto.<\/p>\nLa arquitectura final a grandes rasgos es:<\/p>\n
\t\t\t\t\t\t\t\t\t\t\t\t![\"\"](\"https:\/\/bluetab.net\/wp-content\/uploads\/2020\/12\/functional-arch-1024x832.png\")
<\/p>\n
Una vez desplegada la infraestructura y configurada la aplicaci\u00f3n hemos probado a conectarnos a las instancias mediante SSH. Todo el c\u00f3digo fuente se basa en terraform 0.13 y lo podr\u00e9is encontrar en Bluetab-boundary-hybrid-architecture<\/a>, en donde tambi\u00e9n encontrar\u00e9is un README detallado que especifica las acciones que ten\u00e9is que seguir para reproducir el entorno, en particular:<\/p>\n\n- \n
Autenticaci\u00f3n con vuestro usuario (previamente configurado) en Boundary. Para ello apuntamos al endpoint<\/em> correspondiente a los controladores de Boundary y ejecutamos el comando boundary authenticate<\/code>.<\/p>\n<\/li>\n- \n
Ejecutar el comando boundary connect ssh<\/code> con los argumentos necesarios para apuntar a nuestro target<\/em> (El target<\/em> representa una o m\u00e1s m\u00e1quinas o endpoints<\/em>).<\/p>\n<\/li>\n<\/ol>\nEn este escenario particualr, el target<\/em> se compone de dos m\u00e1quinas diferentes: una en AWS y otra en GCP. Si a Boundary no se le indica a qu\u00e9 m\u00e1quina en concreto se quiere acceder de ese target<\/em>, Boundary proporcionar\u00e1 acceso de forma aleatoria a una de ellas. De manera autom\u00e1tica una vez seleccionada la m\u00e1quina a la que se quiere acceder, Boundary enrutar\u00e1 la petici\u00f3n hacia el worker<\/em> adecuado, que es el que tiene acceso a dicha m\u00e1quina.<\/p>\n\u00bfQu\u00e9 nos ha gustado?<\/h2>\n\n- \n
La facilidad de configuraci\u00f3n. Boundary sabe perfectamente a qu\u00e9 worker<\/em> tiene que dirigir la petici\u00f3n teniendo en cuenta a qu\u00e9 servicio o m\u00e1quina se est\u00e1 solicitando el acceso. Como todo el despliegue (tanto infraestructura como aplicaci\u00f3n) se ha hecho desde terraform, la salida de un despliegue sirve como entrada del otro y est\u00e1 todo perfectamente integrado.<\/p>\n<\/li>\n- \n
Ofrece tanto interfaz gr\u00e1fica como acceso CLI. Aunque a\u00fan est\u00e1 en una fase muy temprana del desarrollo, el mismo binario de Boundary ofrece (cuando es configurado como controller<\/em>) una interfaz gr\u00e1fica muy limpia, con el mismo estilo que las diferents herramientas de Hashicorp. Sin embargo, no todas las funcionalidades se pueden realizar actualmente desde la interfaz, por lo que es necesario utilizar la CLI.<\/p>\n<\/li>\n<\/ul>\n\u00bfQu\u00e9 hemos echado en falta?<\/h2>\n\n- \n
La integraci\u00f3n con Vault y los indentity providers<\/em> (IdPs<\/em>) todav\u00eda esta en el roadmap<\/em> y hasta siguientes versiones no es seguro que se incluya.<\/p>\n<\/li>\n- \n
La gesti\u00f3n actual del JWT token del cliente de Boundary hacia el control-plane<\/em> que implica instalar una herramienta para la gesti\u00f3n de secretos.<\/p>\n<\/li>\n<\/ul>\n\u00bfQu\u00e9 nos falta por probar?<\/h2>\n
Teniendo en cuenta el nivel de avance del desarrollo del producto actual, nos faltar\u00eda por entender y probar para:<\/p>\n
\n- \n
Gesti\u00f3n de accesos modificando pol\u00edticas a diferentes usuarios.<\/p>\n<\/li>\n
- \n
Realizar una investigaci\u00f3n m\u00e1s profunda en los componentes que sirven para gestionar los recursos (scopes<\/em>, organizations<\/em>, host sets<\/em>, etc.)<\/p>\n<\/li>\n<\/ul>\n\u00bfPor qu\u00e9 creemos que este producto tiene potencial?<\/h2>\n
Una vez que el producto vaya cumpliendo fases en el roadmap<\/em> que Hashicorp ha declarado, simplificar\u00e1 much\u00edsimo la gesti\u00f3n de accesos a m\u00e1quinas a trav\u00e9s de bastiones en las organizaciones. Se podr\u00e1 gestionar el acceso a una m\u00e1quina simplemente a\u00f1adiendo o modificando los permisos que un usuario posee, sin tener que distribuir claves ssh, realizar operaciones manuales en las m\u00e1quinas, etc.<\/p>\nEn resumen, este producto nos brinda una nueva forma de gestionar accesos a diferentes recursos. No solamente mediante SSH, sino que ser\u00e1 una forma de gestionar accesos mediante roles a m\u00e1quinas, bases de datos, portales, etc. minimizando el posible vector de ataque cuando se dan permisos a contratistas. Adem\u00e1s se presenta como una herramienta gratuita y opensource<\/em>, que se integrar\u00e1 muy eficazmente si se tiene el ecosistema de Hashicorp desplegado, pero tambi\u00e9n servir\u00e1 en caso contrario sin necesidad del resto de herramientas de esta compa\u00f1\u00eda.<\/p>\nY una cosa m\u00e1s…<\/h2>\n
Nos surgi\u00f3 un problema causado por la forma en la que se persist\u00eda la informaci\u00f3n sobre las direcciones de red de los controllers<\/em> y los workers<\/em> para su posterior comunicaci\u00f3n. Despu\u00e9s de hacer funcionar la prueba de concepto mediante un workaround<\/em> basado en iptables decidimos abrir una https:\/\/github.com\/hashicorp\/boundary\/issues\/758<\/a> en Github. En literalmente un d\u00eda, nos resolvieron la incidencia actualizando su c\u00f3digo. Nos descargamos la nueva versi\u00f3n del c\u00f3digo, lo probamos y funcion\u00f3 a la perfecci\u00f3n. Punto a favor para Hashicorp por la rapidez de respuesta y la eficiencia que demostraron. Adem\u00e1s, recientemente ha sido liberada la nueva release de Boundary, la cual incluye entre muchas otras cosas, el fix<\/em> a esta issue<\/em> Boundary v0.1.2<\/a>.<\/p>\n\u00bfQuieres saber m\u00e1s de lo que ofrecemos y ver otros casos de \u00e9xito?<\/h5>\n
\nDESCUBRE BLUETAB
\n<\/a>
\nShare on twitter
\nShare on linkedin<\/p>\nSOLUCIONES, <\/b>SOMOS EXPERTOS<\/p>\n
<\/a><\/p>\n<\/p>\n\n\t\t\t\t\t\tDATA STRATEGY<\/h5>\n
<\/a>\t\t\t\t\t\t<\/a>
\n<\/a><\/p>\n<\/p>\n\n\t\t\t\t\t\tDATA FABRIC<\/h5>\n
<\/a>\t\t\t\t\t\t<\/a>
\n<\/a><\/p>\n
<\/a><\/figure>\nJavier Rodriguez<\/a><\/h4>\nCloud DevOps<\/p>\n<\/a><\/figure>\n Jorge de Diego<\/a><\/h4>\nCloud DevOps Engineer<\/p>\n
Despu\u00e9s de la \u00faltima HashiConf Digital, desde la Pr\u00e1ctica Cloud os queremos ense\u00f1ar una de las principales novedades que fueron presentadas: Boundary. En este post vamos a comentar qu\u00e9 es esta nueva herramienta, por qu\u00e9 es interesante, qu\u00e9 nos ha parecido y c\u00f3mo lo hemos probado.<\/p>\n
\u00bfQu\u00e9 es Hashicorp Boundary?<\/h2>\n
Hashicorp Boundary es, como ellos mismos declaran, una herramienta que permite acceder a cualquier sistema utilizando la identidad como pieza fundamental. \u00bfEsto qu\u00e9 significa? Tradicionalmente, cuando un usuario adquiere el permiso de acceder a un servicio remoto, tambi\u00e9n obtiene el permiso expl\u00edcito a la red donde se encuentra ubicado. Sin embargo, Boundary nos proporcionar\u00e1 un sistema basado en el m\u00ednimo privilegio posible cuando los usuarios necesitan acceder a aplicaciones o m\u00e1quinas. Por ejemplo, es una forma de acceder mediante SSH a un \u00fanico servidor utilizando como m\u00e9todo de autenticaci\u00f3n unas claves ef\u00edmeras.<\/p>\n
Esto quiere decir que Boundary limita a qu\u00e9 recursos te puedes conectar y adem\u00e1s gestiona los diferentes permisos y accesos a los recursos con una autenticaci\u00f3n.<\/p>\n
Es especialmente interesante porque en el futuro va a estar marcado por la fuerte integraci\u00f3n que tendr\u00e1 con otras herramientas de Hashicorp, especialmente con Vault para la gesti\u00f3n de credenciales, as\u00ed como con sus funciones de auditoria.<\/p>\n
Por si ten\u00e9is curiosidad, Hashicorp ha liberado el c\u00f3digo fuente de Boundary<\/a> el cual ten\u00e9is disponible en Github y la documentaci\u00f3n oficial la podr\u00e9is leer en su pagina web: boundaryproject<\/a>.<\/p>\n\u00bfC\u00f3mo hemos puesto a prueba Boundary?<\/h2>\n
Partiendo de un proyecto de Hashicorp de ejemplo<\/a>, se ha desarrollado una peque\u00f1a prueba de concepto que despliega Boundary en un escenario hybrid-cloud<\/em> en AWS y GCP. Aunque la arquitectura de referencia no dec\u00eda nada con respecto a este dise\u00f1o, nosotros hemos querido darle una vuelta y montar un peque\u00f1o escenario multi-cloud<\/em> para ver c\u00f3mo se comporta este nuevo producto.<\/p>\nLa arquitectura final a grandes rasgos es:<\/p>\n
\t\t\t\t\t\t\t\t\t\t\t\t<\/p>\n
Una vez desplegada la infraestructura y configurada la aplicaci\u00f3n hemos probado a conectarnos a las instancias mediante SSH. Todo el c\u00f3digo fuente se basa en terraform 0.13 y lo podr\u00e9is encontrar en Bluetab-boundary-hybrid-architecture<\/a>, en donde tambi\u00e9n encontrar\u00e9is un README detallado que especifica las acciones que ten\u00e9is que seguir para reproducir el entorno, en particular:<\/p>\n\n- \n
Autenticaci\u00f3n con vuestro usuario (previamente configurado) en Boundary. Para ello apuntamos al endpoint<\/em> correspondiente a los controladores de Boundary y ejecutamos el comando boundary authenticate<\/code>.<\/p>\n<\/li>\n- \n
Ejecutar el comando boundary connect ssh<\/code> con los argumentos necesarios para apuntar a nuestro target<\/em> (El target<\/em> representa una o m\u00e1s m\u00e1quinas o endpoints<\/em>).<\/p>\n<\/li>\n<\/ol>\nEn este escenario particualr, el target<\/em> se compone de dos m\u00e1quinas diferentes: una en AWS y otra en GCP. Si a Boundary no se le indica a qu\u00e9 m\u00e1quina en concreto se quiere acceder de ese target<\/em>, Boundary proporcionar\u00e1 acceso de forma aleatoria a una de ellas. De manera autom\u00e1tica una vez seleccionada la m\u00e1quina a la que se quiere acceder, Boundary enrutar\u00e1 la petici\u00f3n hacia el worker<\/em> adecuado, que es el que tiene acceso a dicha m\u00e1quina.<\/p>\n\u00bfQu\u00e9 nos ha gustado?<\/h2>\n\n- \n
La facilidad de configuraci\u00f3n. Boundary sabe perfectamente a qu\u00e9 worker<\/em> tiene que dirigir la petici\u00f3n teniendo en cuenta a qu\u00e9 servicio o m\u00e1quina se est\u00e1 solicitando el acceso. Como todo el despliegue (tanto infraestructura como aplicaci\u00f3n) se ha hecho desde terraform, la salida de un despliegue sirve como entrada del otro y est\u00e1 todo perfectamente integrado.<\/p>\n<\/li>\n- \n
Ofrece tanto interfaz gr\u00e1fica como acceso CLI. Aunque a\u00fan est\u00e1 en una fase muy temprana del desarrollo, el mismo binario de Boundary ofrece (cuando es configurado como controller<\/em>) una interfaz gr\u00e1fica muy limpia, con el mismo estilo que las diferents herramientas de Hashicorp. Sin embargo, no todas las funcionalidades se pueden realizar actualmente desde la interfaz, por lo que es necesario utilizar la CLI.<\/p>\n<\/li>\n<\/ul>\n\u00bfQu\u00e9 hemos echado en falta?<\/h2>\n\n- \n
La integraci\u00f3n con Vault y los indentity providers<\/em> (IdPs<\/em>) todav\u00eda esta en el roadmap<\/em> y hasta siguientes versiones no es seguro que se incluya.<\/p>\n<\/li>\n- \n
La gesti\u00f3n actual del JWT token del cliente de Boundary hacia el control-plane<\/em> que implica instalar una herramienta para la gesti\u00f3n de secretos.<\/p>\n<\/li>\n<\/ul>\n\u00bfQu\u00e9 nos falta por probar?<\/h2>\n
Teniendo en cuenta el nivel de avance del desarrollo del producto actual, nos faltar\u00eda por entender y probar para:<\/p>\n
\n- \n
Gesti\u00f3n de accesos modificando pol\u00edticas a diferentes usuarios.<\/p>\n<\/li>\n
- \n
Realizar una investigaci\u00f3n m\u00e1s profunda en los componentes que sirven para gestionar los recursos (scopes<\/em>, organizations<\/em>, host sets<\/em>, etc.)<\/p>\n<\/li>\n<\/ul>\n\u00bfPor qu\u00e9 creemos que este producto tiene potencial?<\/h2>\n
Una vez que el producto vaya cumpliendo fases en el roadmap<\/em> que Hashicorp ha declarado, simplificar\u00e1 much\u00edsimo la gesti\u00f3n de accesos a m\u00e1quinas a trav\u00e9s de bastiones en las organizaciones. Se podr\u00e1 gestionar el acceso a una m\u00e1quina simplemente a\u00f1adiendo o modificando los permisos que un usuario posee, sin tener que distribuir claves ssh, realizar operaciones manuales en las m\u00e1quinas, etc.<\/p>\nEn resumen, este producto nos brinda una nueva forma de gestionar accesos a diferentes recursos. No solamente mediante SSH, sino que ser\u00e1 una forma de gestionar accesos mediante roles a m\u00e1quinas, bases de datos, portales, etc. minimizando el posible vector de ataque cuando se dan permisos a contratistas. Adem\u00e1s se presenta como una herramienta gratuita y opensource<\/em>, que se integrar\u00e1 muy eficazmente si se tiene el ecosistema de Hashicorp desplegado, pero tambi\u00e9n servir\u00e1 en caso contrario sin necesidad del resto de herramientas de esta compa\u00f1\u00eda.<\/p>\nY una cosa m\u00e1s…<\/h2>\n
Nos surgi\u00f3 un problema causado por la forma en la que se persist\u00eda la informaci\u00f3n sobre las direcciones de red de los controllers<\/em> y los workers<\/em> para su posterior comunicaci\u00f3n. Despu\u00e9s de hacer funcionar la prueba de concepto mediante un workaround<\/em> basado en iptables decidimos abrir una https:\/\/github.com\/hashicorp\/boundary\/issues\/758<\/a> en Github. En literalmente un d\u00eda, nos resolvieron la incidencia actualizando su c\u00f3digo. Nos descargamos la nueva versi\u00f3n del c\u00f3digo, lo probamos y funcion\u00f3 a la perfecci\u00f3n. Punto a favor para Hashicorp por la rapidez de respuesta y la eficiencia que demostraron. Adem\u00e1s, recientemente ha sido liberada la nueva release de Boundary, la cual incluye entre muchas otras cosas, el fix<\/em> a esta issue<\/em> Boundary v0.1.2<\/a>.<\/p>\n\u00bfQuieres saber m\u00e1s de lo que ofrecemos y ver otros casos de \u00e9xito?<\/h5>\n
\nDESCUBRE BLUETAB
\n<\/a>
\nShare on twitter
\nShare on linkedin<\/p>\nSOLUCIONES, <\/b>SOMOS EXPERTOS<\/p>\n
<\/a><\/p>\n<\/p>\n\n\t\t\t\t\t\tDATA STRATEGY<\/h5>\n
<\/a>\t\t\t\t\t\t<\/a>
\n<\/a><\/p>\n<\/p>\n\n\t\t\t\t\t\tDATA FABRIC<\/h5>\n
<\/a>\t\t\t\t\t\t<\/a>
\n<\/a><\/p>\n
<\/a><\/figure>\n Jorge de Diego<\/a><\/h4>\nCloud DevOps Engineer<\/p>\n
Despu\u00e9s de la \u00faltima HashiConf Digital, desde la Pr\u00e1ctica Cloud os queremos ense\u00f1ar una de las principales novedades que fueron presentadas: Boundary. En este post vamos a comentar qu\u00e9 es esta nueva herramienta, por qu\u00e9 es interesante, qu\u00e9 nos ha parecido y c\u00f3mo lo hemos probado.<\/p>\n
\u00bfQu\u00e9 es Hashicorp Boundary?<\/h2>\n
Hashicorp Boundary es, como ellos mismos declaran, una herramienta que permite acceder a cualquier sistema utilizando la identidad como pieza fundamental. \u00bfEsto qu\u00e9 significa? Tradicionalmente, cuando un usuario adquiere el permiso de acceder a un servicio remoto, tambi\u00e9n obtiene el permiso expl\u00edcito a la red donde se encuentra ubicado. Sin embargo, Boundary nos proporcionar\u00e1 un sistema basado en el m\u00ednimo privilegio posible cuando los usuarios necesitan acceder a aplicaciones o m\u00e1quinas. Por ejemplo, es una forma de acceder mediante SSH a un \u00fanico servidor utilizando como m\u00e9todo de autenticaci\u00f3n unas claves ef\u00edmeras.<\/p>\n
Esto quiere decir que Boundary limita a qu\u00e9 recursos te puedes conectar y adem\u00e1s gestiona los diferentes permisos y accesos a los recursos con una autenticaci\u00f3n.<\/p>\n
Es especialmente interesante porque en el futuro va a estar marcado por la fuerte integraci\u00f3n que tendr\u00e1 con otras herramientas de Hashicorp, especialmente con Vault para la gesti\u00f3n de credenciales, as\u00ed como con sus funciones de auditoria.<\/p>\n
Por si ten\u00e9is curiosidad, Hashicorp ha liberado el c\u00f3digo fuente de Boundary<\/a> el cual ten\u00e9is disponible en Github y la documentaci\u00f3n oficial la podr\u00e9is leer en su pagina web: boundaryproject<\/a>.<\/p>\n\u00bfC\u00f3mo hemos puesto a prueba Boundary?<\/h2>\n
Partiendo de un proyecto de Hashicorp de ejemplo<\/a>, se ha desarrollado una peque\u00f1a prueba de concepto que despliega Boundary en un escenario hybrid-cloud<\/em> en AWS y GCP. Aunque la arquitectura de referencia no dec\u00eda nada con respecto a este dise\u00f1o, nosotros hemos querido darle una vuelta y montar un peque\u00f1o escenario multi-cloud<\/em> para ver c\u00f3mo se comporta este nuevo producto.<\/p>\nLa arquitectura final a grandes rasgos es:<\/p>\n
\t\t\t\t\t\t\t\t\t\t\t\t<\/p>\n
Una vez desplegada la infraestructura y configurada la aplicaci\u00f3n hemos probado a conectarnos a las instancias mediante SSH. Todo el c\u00f3digo fuente se basa en terraform 0.13 y lo podr\u00e9is encontrar en Bluetab-boundary-hybrid-architecture<\/a>, en donde tambi\u00e9n encontrar\u00e9is un README detallado que especifica las acciones que ten\u00e9is que seguir para reproducir el entorno, en particular:<\/p>\n\n- \n
Autenticaci\u00f3n con vuestro usuario (previamente configurado) en Boundary. Para ello apuntamos al endpoint<\/em> correspondiente a los controladores de Boundary y ejecutamos el comando boundary authenticate<\/code>.<\/p>\n<\/li>\n- \n
Ejecutar el comando boundary connect ssh<\/code> con los argumentos necesarios para apuntar a nuestro target<\/em> (El target<\/em> representa una o m\u00e1s m\u00e1quinas o endpoints<\/em>).<\/p>\n<\/li>\n<\/ol>\nEn este escenario particualr, el target<\/em> se compone de dos m\u00e1quinas diferentes: una en AWS y otra en GCP. Si a Boundary no se le indica a qu\u00e9 m\u00e1quina en concreto se quiere acceder de ese target<\/em>, Boundary proporcionar\u00e1 acceso de forma aleatoria a una de ellas. De manera autom\u00e1tica una vez seleccionada la m\u00e1quina a la que se quiere acceder, Boundary enrutar\u00e1 la petici\u00f3n hacia el worker<\/em> adecuado, que es el que tiene acceso a dicha m\u00e1quina.<\/p>\n\u00bfQu\u00e9 nos ha gustado?<\/h2>\n\n- \n
La facilidad de configuraci\u00f3n. Boundary sabe perfectamente a qu\u00e9 worker<\/em> tiene que dirigir la petici\u00f3n teniendo en cuenta a qu\u00e9 servicio o m\u00e1quina se est\u00e1 solicitando el acceso. Como todo el despliegue (tanto infraestructura como aplicaci\u00f3n) se ha hecho desde terraform, la salida de un despliegue sirve como entrada del otro y est\u00e1 todo perfectamente integrado.<\/p>\n<\/li>\n- \n
Ofrece tanto interfaz gr\u00e1fica como acceso CLI. Aunque a\u00fan est\u00e1 en una fase muy temprana del desarrollo, el mismo binario de Boundary ofrece (cuando es configurado como controller<\/em>) una interfaz gr\u00e1fica muy limpia, con el mismo estilo que las diferents herramientas de Hashicorp. Sin embargo, no todas las funcionalidades se pueden realizar actualmente desde la interfaz, por lo que es necesario utilizar la CLI.<\/p>\n<\/li>\n<\/ul>\n\u00bfQu\u00e9 hemos echado en falta?<\/h2>\n\n- \n
La integraci\u00f3n con Vault y los indentity providers<\/em> (IdPs<\/em>) todav\u00eda esta en el roadmap<\/em> y hasta siguientes versiones no es seguro que se incluya.<\/p>\n<\/li>\n- \n
La gesti\u00f3n actual del JWT token del cliente de Boundary hacia el control-plane<\/em> que implica instalar una herramienta para la gesti\u00f3n de secretos.<\/p>\n<\/li>\n<\/ul>\n\u00bfQu\u00e9 nos falta por probar?<\/h2>\n
Teniendo en cuenta el nivel de avance del desarrollo del producto actual, nos faltar\u00eda por entender y probar para:<\/p>\n
\n- \n
Gesti\u00f3n de accesos modificando pol\u00edticas a diferentes usuarios.<\/p>\n<\/li>\n
- \n
Realizar una investigaci\u00f3n m\u00e1s profunda en los componentes que sirven para gestionar los recursos (scopes<\/em>, organizations<\/em>, host sets<\/em>, etc.)<\/p>\n<\/li>\n<\/ul>\n\u00bfPor qu\u00e9 creemos que este producto tiene potencial?<\/h2>\n
Una vez que el producto vaya cumpliendo fases en el roadmap<\/em> que Hashicorp ha declarado, simplificar\u00e1 much\u00edsimo la gesti\u00f3n de accesos a m\u00e1quinas a trav\u00e9s de bastiones en las organizaciones. Se podr\u00e1 gestionar el acceso a una m\u00e1quina simplemente a\u00f1adiendo o modificando los permisos que un usuario posee, sin tener que distribuir claves ssh, realizar operaciones manuales en las m\u00e1quinas, etc.<\/p>\nEn resumen, este producto nos brinda una nueva forma de gestionar accesos a diferentes recursos. No solamente mediante SSH, sino que ser\u00e1 una forma de gestionar accesos mediante roles a m\u00e1quinas, bases de datos, portales, etc. minimizando el posible vector de ataque cuando se dan permisos a contratistas. Adem\u00e1s se presenta como una herramienta gratuita y opensource<\/em>, que se integrar\u00e1 muy eficazmente si se tiene el ecosistema de Hashicorp desplegado, pero tambi\u00e9n servir\u00e1 en caso contrario sin necesidad del resto de herramientas de esta compa\u00f1\u00eda.<\/p>\nY una cosa m\u00e1s…<\/h2>\n
Nos surgi\u00f3 un problema causado por la forma en la que se persist\u00eda la informaci\u00f3n sobre las direcciones de red de los controllers<\/em> y los workers<\/em> para su posterior comunicaci\u00f3n. Despu\u00e9s de hacer funcionar la prueba de concepto mediante un workaround<\/em> basado en iptables decidimos abrir una https:\/\/github.com\/hashicorp\/boundary\/issues\/758<\/a> en Github. En literalmente un d\u00eda, nos resolvieron la incidencia actualizando su c\u00f3digo. Nos descargamos la nueva versi\u00f3n del c\u00f3digo, lo probamos y funcion\u00f3 a la perfecci\u00f3n. Punto a favor para Hashicorp por la rapidez de respuesta y la eficiencia que demostraron. Adem\u00e1s, recientemente ha sido liberada la nueva release de Boundary, la cual incluye entre muchas otras cosas, el fix<\/em> a esta issue<\/em> Boundary v0.1.2<\/a>.<\/p>\n\u00bfQuieres saber m\u00e1s de lo que ofrecemos y ver otros casos de \u00e9xito?<\/h5>\n
\nDESCUBRE BLUETAB
\n<\/a>
\nShare on twitter
\nShare on linkedin<\/p>\nSOLUCIONES, <\/b>SOMOS EXPERTOS<\/p>\n
<\/a><\/p>\n<\/p>\n\n\t\t\t\t\t\tDATA STRATEGY<\/h5>\n
<\/a>\t\t\t\t\t\t<\/a>
\n<\/a><\/p>\n<\/p>\n\n\t\t\t\t\t\tDATA FABRIC<\/h5>\n
<\/a>\t\t\t\t\t\t<\/a>
\n<\/a><\/p>\n
\u00bfC\u00f3mo hemos puesto a prueba Boundary?<\/h2>\n
Partiendo de un proyecto de Hashicorp de ejemplo<\/a>, se ha desarrollado una peque\u00f1a prueba de concepto que despliega Boundary en un escenario hybrid-cloud<\/em> en AWS y GCP. Aunque la arquitectura de referencia no dec\u00eda nada con respecto a este dise\u00f1o, nosotros hemos querido darle una vuelta y montar un peque\u00f1o escenario multi-cloud<\/em> para ver c\u00f3mo se comporta este nuevo producto.<\/p>\n La arquitectura final a grandes rasgos es:<\/p>\n \t\t\t\t\t\t\t\t\t\t\t\t Una vez desplegada la infraestructura y configurada la aplicaci\u00f3n hemos probado a conectarnos a las instancias mediante SSH. Todo el c\u00f3digo fuente se basa en terraform 0.13 y lo podr\u00e9is encontrar en Bluetab-boundary-hybrid-architecture<\/a>, en donde tambi\u00e9n encontrar\u00e9is un README detallado que especifica las acciones que ten\u00e9is que seguir para reproducir el entorno, en particular:<\/p>\n Autenticaci\u00f3n con vuestro usuario (previamente configurado) en Boundary. Para ello apuntamos al endpoint<\/em> correspondiente a los controladores de Boundary y ejecutamos el comando Ejecutar el comando En este escenario particualr, el target<\/em> se compone de dos m\u00e1quinas diferentes: una en AWS y otra en GCP. Si a Boundary no se le indica a qu\u00e9 m\u00e1quina en concreto se quiere acceder de ese target<\/em>, Boundary proporcionar\u00e1 acceso de forma aleatoria a una de ellas. De manera autom\u00e1tica una vez seleccionada la m\u00e1quina a la que se quiere acceder, Boundary enrutar\u00e1 la petici\u00f3n hacia el worker<\/em> adecuado, que es el que tiene acceso a dicha m\u00e1quina.<\/p>\n La facilidad de configuraci\u00f3n. Boundary sabe perfectamente a qu\u00e9 worker<\/em> tiene que dirigir la petici\u00f3n teniendo en cuenta a qu\u00e9 servicio o m\u00e1quina se est\u00e1 solicitando el acceso. Como todo el despliegue (tanto infraestructura como aplicaci\u00f3n) se ha hecho desde terraform, la salida de un despliegue sirve como entrada del otro y est\u00e1 todo perfectamente integrado.<\/p>\n<\/li>\n Ofrece tanto interfaz gr\u00e1fica como acceso CLI. Aunque a\u00fan est\u00e1 en una fase muy temprana del desarrollo, el mismo binario de Boundary ofrece (cuando es configurado como controller<\/em>) una interfaz gr\u00e1fica muy limpia, con el mismo estilo que las diferents herramientas de Hashicorp. Sin embargo, no todas las funcionalidades se pueden realizar actualmente desde la interfaz, por lo que es necesario utilizar la CLI.<\/p>\n<\/li>\n<\/ul>\n La integraci\u00f3n con Vault y los indentity providers<\/em> (IdPs<\/em>) todav\u00eda esta en el roadmap<\/em> y hasta siguientes versiones no es seguro que se incluya.<\/p>\n<\/li>\n La gesti\u00f3n actual del JWT token del cliente de Boundary hacia el control-plane<\/em> que implica instalar una herramienta para la gesti\u00f3n de secretos.<\/p>\n<\/li>\n<\/ul>\n Teniendo en cuenta el nivel de avance del desarrollo del producto actual, nos faltar\u00eda por entender y probar para:<\/p>\n Gesti\u00f3n de accesos modificando pol\u00edticas a diferentes usuarios.<\/p>\n<\/li>\n Realizar una investigaci\u00f3n m\u00e1s profunda en los componentes que sirven para gestionar los recursos (scopes<\/em>, organizations<\/em>, host sets<\/em>, etc.)<\/p>\n<\/li>\n<\/ul>\n Una vez que el producto vaya cumpliendo fases en el roadmap<\/em> que Hashicorp ha declarado, simplificar\u00e1 much\u00edsimo la gesti\u00f3n de accesos a m\u00e1quinas a trav\u00e9s de bastiones en las organizaciones. Se podr\u00e1 gestionar el acceso a una m\u00e1quina simplemente a\u00f1adiendo o modificando los permisos que un usuario posee, sin tener que distribuir claves ssh, realizar operaciones manuales en las m\u00e1quinas, etc.<\/p>\n En resumen, este producto nos brinda una nueva forma de gestionar accesos a diferentes recursos. No solamente mediante SSH, sino que ser\u00e1 una forma de gestionar accesos mediante roles a m\u00e1quinas, bases de datos, portales, etc. minimizando el posible vector de ataque cuando se dan permisos a contratistas. Adem\u00e1s se presenta como una herramienta gratuita y opensource<\/em>, que se integrar\u00e1 muy eficazmente si se tiene el ecosistema de Hashicorp desplegado, pero tambi\u00e9n servir\u00e1 en caso contrario sin necesidad del resto de herramientas de esta compa\u00f1\u00eda.<\/p>\n Nos surgi\u00f3 un problema causado por la forma en la que se persist\u00eda la informaci\u00f3n sobre las direcciones de red de los controllers<\/em> y los workers<\/em> para su posterior comunicaci\u00f3n. Despu\u00e9s de hacer funcionar la prueba de concepto mediante un workaround<\/em> basado en iptables decidimos abrir una https:\/\/github.com\/hashicorp\/boundary\/issues\/758<\/a> en Github. En literalmente un d\u00eda, nos resolvieron la incidencia actualizando su c\u00f3digo. Nos descargamos la nueva versi\u00f3n del c\u00f3digo, lo probamos y funcion\u00f3 a la perfecci\u00f3n. Punto a favor para Hashicorp por la rapidez de respuesta y la eficiencia que demostraron. Adem\u00e1s, recientemente ha sido liberada la nueva release de Boundary, la cual incluye entre muchas otras cosas, el fix<\/em> a esta issue<\/em> Boundary v0.1.2<\/a>.<\/p>\n SOLUCIONES, <\/b>SOMOS EXPERTOS<\/p>\n <\/a><\/p>\n <\/p>\n <\/a>\t\t\t\t\t\t<\/a> <\/p>\n <\/a>\t\t\t\t\t\t<\/a><\/p>\n\n
boundary authenticate<\/code>.<\/p>\n<\/li>\nboundary connect ssh<\/code> con los argumentos necesarios para apuntar a nuestro target<\/em> (El target<\/em> representa una o m\u00e1s m\u00e1quinas o endpoints<\/em>).<\/p>\n<\/li>\n<\/ol>\n\u00bfQu\u00e9 nos ha gustado?<\/h2>\n
\n
\u00bfQu\u00e9 hemos echado en falta?<\/h2>\n
\n
\u00bfQu\u00e9 nos falta por probar?<\/h2>\n
\n
\u00bfPor qu\u00e9 creemos que este producto tiene potencial?<\/h2>\n
Y una cosa m\u00e1s…<\/h2>\n
\u00bfQuieres saber m\u00e1s de lo que ofrecemos y ver otros casos de \u00e9xito?<\/h5>\n
\nDESCUBRE BLUETAB
\n<\/a>
\nShare on twitter
\nShare on linkedin<\/p>\n\n\t\t\t\t\t\tDATA STRATEGY<\/h5>\n
\n<\/a><\/p>\n\n\t\t\t\t\t\tDATA FABRIC<\/h5>\n
\n<\/a><\/p>\n