Hashicorp Boundary

Vor gut eineinhalb Jahren hat Hashicorp die erste Version von Boundary [1] veröffentlicht, einem Werkzeug zum Steuern des Netzwerkzugangs. Seitdem haben die Entwickler stetig neue Features hinzugefügt und Fehler gefixt. Obwohl Boundary heute mit Version 0.7.4 dem "Semantic Versioning" [2] entsprechend zwar noch nicht stabil ist, haben wir es uns dennoch für Sie angesehen und den Einsatz in einer Cloudumgebung ausprobiert.

Das Universum der Hashicorp-Software sind vor allem Cloud Computing und Containerumgebungen wie Kubernetes. Mit Boundary kommt zusätzlich zu den existierenden Werkzeugen der sichere Re-motezugang auf die Habenseite des Unternehmens. Dabei ist Boundary nicht einfach ein Gateway in ein privates Netzwerk, sondern durch die Integration des rollenbasierten Zugangsmodells ein identitätsbasiertes Zugangsmanagement für dynamische Infrastrukturen.

Grenzen klassischer Fernsteuerung

Der Zugriff auf Ressourcen innerhalb eines Unternehmensnetzwerks oder eines extern betriebenen Clusters erfolgt üblicherweise per VPN oder mittels sogenannter SSH-Bastion-Hosts. VPN-Verbindungen finden auf Netzwerkebene statt. Das bedeutet, die Computer der Mitarbeiter erhalten als Client eine eigene IP-Adresse aus dem privaten Netzwerk. Damit sind diese also recht umfassend in das private Netzwerk eingebunden und können bei einer bestehenden VPN-Verbindung auf alle Dienste des Netzwerks zugreifen – Zugriffsbeschränkungen auf die internen Dienste und der Clients untereinander lassen sich über verschiedene IP-Bereiche der Clients und mit internen Firewalls realisieren.

Im Gegensatz zum VPN finden Tunnel über Bastion-Hosts auf der Verbindungsebene statt. Clients bauen zunächst eine Verbindung zum Bastion-Host auf und weiterführende Verbindungen zu den internen Diensten werden in der Art eines Proxies weitergeleitet. Das bedeutet, dass Clients nicht Teil des privaten

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.