Teleport – The easiest, most secure way to access infrastructure

09/05/2022 תומר קליין כללי 0

Teleport

Teleport היא certificate authority ו identity-aware, וכן פרוקסי לגישה מרובת פרוטוקולים המיישמת פרוטוקולים כגון SSH, RDP, HTTPS, Kubernetes API ומגוון מסדי נתונים של SQL ו-NoSQL. המערכת שקופה לחלוטין למשתמש בצד הלקוח ונועדה לאפשר לעובדי הארגון להתחבר לשרתים ומערכות הנמצאות בתוך הרשת הארגונית בצורה קלה ומאובטחת.

האמת, הסיבה שהביאה אותי להשתמש במערכת, מעבר לכך שיש גרסאת Community חינמית, היא האפשרות להתחבר בצורה מאובטחת למערכות שנמצאות מאחורי NAT או Double NAT או כאלה שמטעמי אבטחה לא מאפשרות פתיחת פורטים לגישה מבחוץ. למעשה המערכת עובדת בעקרון ה Zero Trust שאומר שהגישה למערכות לא תתבצע בצורה ישירה ותתבסס על מקור חזק יחיד לזהות משתמש, אימות משתמשים, מדיניות הרשאה לגישה ליישומים ועוד. במאמר זה אסביר אודות היכולות השונות של המערכת.

Teleport diagram - Techblog.co.il

מעבר ליכולת ההתחברות לרכיבי הרשת, המערכת כוללת פיצ'רים חשובים נוספים:

  • Auditing – לוג מפורט אודות השימוש שנעשה במערכת (הוספת משתמשים, התחברויות ועוד).
  • Recordings – הסשנים של המערת מוקלטים וניתנים לצפיה.
  • Sessions – ניתן לראות את הסשנים הפעילים בכל רגע נתון ואף להתחבר אליהם ולראות מה המשתמש עושה (ואף להתערב בנעשה).
  • ניהול משתמשים נוח והגדרת תפקידים והרשאות.

כפי שציינתי בתחילת המאמר Teleport, מאפשרת גישה מאובטחת לשרתים, אפליקציות ועוד. לכן, כבר במסך ה Login נתבקש להשתמש ב 2FA על מנת להזדהות

Teleport Login

התחברות לשרתים:

לאחר ההתחברות, המסך הראשון שנראה הוא רשימת השרתים אליהם ניתן לגשת.

רשימת שרתים

דרך מסך זה נוכל להתחבר בצורה מאובטחת אל השרתים ברשימה ולקבל SSH Over HTTPS. כל שעלינו לעשות על מנת להתחבר הוא ללחוץ בצד שמאל על Connect, לבחור את שם המשתמש וזהו.

התחברות לאפליקציות web:

המסך הבא שאדבר עליו, הוא Application. מעבר ליכולת להתחבר לשרתים בין עם באמצעות SSH או Remote Desktop, המערכת מאפשרת גישה גם לאפליקציות ווב הנמצאות ברשת ה LAN שלי.

גם כאן, על מנת להתחבר לאפליקציה, כל שעלי לעשות הוא ללחוץ על Launch בצד ימין. תוכלו להבחין כי המערכת עושה שימוש ב Subdomain אותה היא מקצה לפרוקסי של האפליקציה

התחברות לקלאסטרים של קוברנטיס:

טלפורט מאפשרת גישה גם לקלאסטרים של קוברנטיס, על מנת להוסיף קלאסטר של קוברנטיס, ממולץ לקרוא את התיעוד המפורט כאן.

טלפורט קוברנטיס

התחברות למסדי נתונים:

מעבר ליכולת להתחבר לשרתים, ניתן דרך טלפורט להתחבר למסדי נתונים שונים ומגוונים, מה שמאפשר מתן הרשאות גישה מדוייקות עבור המשתמשים השונים בקלות.

תוכלו לראות כי המערכת תומכת במגוון רחב של מסדי נתונים:

על מנת להוסיף מסדי נתונים, מומלץ לקרוא את התיעוד המפורט כאן.

גישה באמצעות פרוטוקול RDP:

היתרון הברור בגישה באמצעות פרוטוקול RDP, הוא היכולת לתת למשתמשים להתחבר למערכות הארגוניות השונות מבלי שיהיה צורך בהפעלת VPN או פתיחת פורטים ובמקביל להגביל את הגישה לשיתופים של משאבי רשת. התמיכה בהתחברות לשרתים ותחנות עבודה באמצעות פרוטוקול RDP מחייב גישה של השרת אל הדומיין באמצעות פרוטוקול LDAP וכן הגדרות GPO על הדומיין מה שהופך את החיבור למאובטח הרבה יותר.

על מנת לחבר ולהגדיר את היכולת לחיבור באמצעות RDP, מומלץ לקרוא את התיעוד המפורט כאן.

Activity and Security

אז כפי שציינתי בתחילת המאמר, המערכת מאובטחת מאוד, וכחלק מעניין האבטחה יש לנו כמנהלים כלים מובנים לניטור בוקרה. בחלק זה אסביר במעט על כלים אלה.

Audit Log

כמו בכל מערכת אליה ניגשים משתמשים מרובים, נרצה לתעד את הפעולות השונות על מנת שבמקרה ויהיה אירוע של אבטחת מידע נוכל למצוא את הגורם ביעילות ובקלות. לכן, טלפורט מכילה בתוכה גם Audit Log המאפשר צפיה ובקרה על הפעולות השונות הנעשות על ידי המשתמשים. מסך זה נמצא תחת לשונית Activity בתפריט הראשי:

Audit log

במסך זה, נוכל בין היתר לראות את האירועים הבאים:

  • Certificate Issued
  • Session Uploaded
  • App Session Started
  • Session Ended
  • ועוד.

על מנת לראות את פרטי האירוע, יש ללחוץ על Details בצד השמאלי של כל שורה:

כאן למשל נוכל לראות אירוע של Session Started המעיד על התחברות של משתמש לאחד השרתים. בפרטים נוכל למצוא את כתובת ה IP שממנה בוצעה ההתחברות, לאיזה שרת בוצע החיבור, שעת החיבור ושם המשתמש שהתחבר.

Session Recordings:

מעבר ל Audit log, מערכת ה Teleport מבצעת "הקלטה" של התחברויות לשרתים ובכך מאפשרת לנו, במקרה של תקלה או אירוע אבטחת מידע להתחקות אחר הפעולות שבוצעו:

Teleport session recordings

גם כאן נוכל לראות פרטים כלליים אודות ההתקנה, כמו שם המשתמש, תאריך ושעה ואת אורך ההקלטה. על מנת לראות את ההקלטה, יש ללחוץ על Play בצד שמאל:

טלפורט - הקלטת סשנים

Active Sessions:

מערכת ה Teleport מאפשרת לנו כמנהלי המערכת (או למשתמשים מורשים) לראות את החיבורים הפעילים כרגע ואף להתחבר אליהם במקרה שרוצים לראות מה המשתמש עושה או שצריכים לסייע לו בפתרון בעיה.

Active Sessions

גם כאן, בדומה למסכים הקודמים, ניתן לראות מידע אודות החיבור הכולל את שם המשתמש, הכתובת ממנה המשתמש התחבר ולאיזה שרת הוא מחובר. על מנת להתחבר ל Session יש ללחוץ על Options בצד ימין ואז על Join Session.

Team:

בחלק זה של המערכת נוכל לנהל את הצוות (משתמשים), הרשאות וכן Auth Connectors.
המסך הראשון בחלק זה יהיה מסך המשתמשים דרכו ניתן להוסיף, למחוק ולעדכן משתמשים:

משתמשים:

משתמשים - טלפורט - techblog

על מנת להוסיף משתמש, נלחץ על "Create New User" בפינה הימנית עליונה של המסך.
על מנת לערוך פרטי משתמש, למחוק אותו או לשנות סיסמה, נלחץ על Options בצידה הימני של שורת המשתמש.

הרשאות (Roles):

במסך זה נוכל להגדיר תפקידים והרשאות למשתמשים השונים ולהגביל את הגישה שלהם למשאבים. בצורה זו נוכל גם לנהל את הסיכונים הנוגעים לגישה לא מורשית של משתמשים למערכות מוגבלות. למשל לאפשר רק למשתמשים מסויימים להתחבר לשרתי לינוקס או למסדי נתונים לפי סביבות (Dev/Staging/Prod) או לאפשר למשתמשים להתחבר למשאבים עם הרשאות מוגבלות.

Teleport Roles

על מנת ליצור Role חדש, נלחץ על Create New Role בפינה הימנית עליונה של המסך. על מנת לערוך/לעדכן קיים, נלחץ על Options בצידה הימנה של כל שורה ונבחר בפעולה הרצויה.
מומלץ לקרוא את התיעוד המפורט כאן.

Auth Connections:

כפי שציינתי, מערכת ה Telport יכולה להשתמש בכל מיני ספקי SSO עבור ההתחברות של המשתמשים. הגרסה החינמית תומכת רק ב Github:

Github SSO

למדריך התקנה והגדרות לחצו כאן.

שימוש מועיל!

Post Views: 687

Be the first to comment

Leave a Reply

כתובת האימייל שלך לא תפורסם


*