HCP Boundary Sicherer Fernzugriff in fluiden Datacenter-Welten

Von M.A. Jürgen Höfling

Anbieter zum Thema

Mit „HCP Boundary“, das im vergangenen Monat auf der „Hashiconf 22“ in Amsterdam vorgestellt wurde, kommt ein Tool für den Fernzugriff auf den Markt, das ganz auf die hochdynamischen Serviceverkettungen des Multicloud-Zeitalters ausgerichtet ist.

„HCP Boundary“ erlaubt einen sicheren Fernzugriff in Multicloud-Umgebungen.
„HCP Boundary“ erlaubt einen sicheren Fernzugriff in Multicloud-Umgebungen.
(Bild: Hashicorp )

In IT-Umgebungen, in denen „alles fließt“, sprich: Arbeitslasten in ständig wechselnden Cloudservices quasi ad hoc abgearbeitet werden und auf deren Ergebnisse Entwickler von überall her komfortabel zugreifen können, ist die jeweils zugreifende Person der letzte verbliebene Fixpunkt.

Es ist deshalb nur folgerichtig, dass der „Multicloud native-Pionier“ Hashicorp mit seinem Fernzugriffs-Modul HCP Boundary, das erstmals im Oktober 2020 als Open-Source-Projekt veröffentlicht worden ist und vor einem Monat auf der Hashiconf 22 in Amsterdam als fertiges „Managed-Angebot“ präsentiert wurde, ganz auf „vertrauenswürdige Identitäten“ als letztlich einzig fixe Basis innerhalb der Verarbeitungskette abstellt.

Ergänzendes zum Thema
Zusammengefasst

Mit „HCP Boundary“ müssen keine SSH-Schlüssel oder VPN-Einwahldaten verwaltet werden, es ist kein manuelles Einbuchen von Ziel-Hostrechnern und Services notwendig, und es sind nicht zuletzt keine hardware-codierten oder mit anderen Protagonisten geteilten Einwahlinformationen für kritische Infrastruktur im Umlauf. Das Ausspionieren von Einwahlinformationen ist damit praktisch unmöglich.

Manuelles Handling kommt in der Multi-Cloud an seine Grenzen

Chris Kent, Senior Director Product Marketing, Security & Networking von Hashicorp sagt: „Während bisherige Lösungen von der Handhabung her sehr komplex sind, indem die Benutzer Anmeldeinformation selbst verwalten und schützen müssen und indem sie einen unnötig großen Zugriffsradius auf das Netzwerk bekommen, ist mit HCP Boundary eine extrem feingranulare Berechtigungsstruktur möglich.“

Besonders in dynamischen Multicloud-Umgebungen hätten die traditionellen, relativ statischen Ansätze zur Folge, so Kent weiter, dass oft mehrere Anmeldeinformationen für das Netzwerk, die Hosts und meist auch noch die verschiedenen Dienste erforderlich seien und dass darüber hinaus bei der Verwaltung von Adressen sowie dem Ein- und Ausbuchen von Benutzern Eingriffe erforderlich wären, die per Hand kaum noch zu bewältigen seien. Je kürzer bestimmte Cloud-Services benutzt würden, desto schneller komme man an eine diesbezügliche Skalierungsgrenze.

Automatisiertes On- und Offboarding

Das Boundary-Paket stellt nun laut Christ Kent durch seinen Fokus auf eine vertrauenswürdige Identität die jeweiligen Anwender – und hier vor allem die Entwicklerinnen und technischen Nutzer - in den Mittelpunkt des Zugriffsdesigns. Gerade diese große Gruppe benötige bei der stetig steigenden Nutzung von immer kurzlebigeren Cloud-Services eine einfach handhabbare standardisierte Möglichkeit, auf die erforderlichen IT-Umgebungen zuzugreifen, unabhängig davon, wo sie sich befinden und ohne dass sie Tickets bei den Operations-Teams einreichen und möglicherweise wochenlang auf ein manuelles Onboarding warten müssen.

HCP Boundary automatisiere vollständig die Arbeitsabläufe für das Onboarding von Benutzern und Zielen, wodurch der Konfigurationsaufwand für die Betreiber drastisch reduziert werde und außerdem Benutzer und Ziele in Cloud-Umgebungen immer auf dem neuesten Stand gehalten würden.

Automatische Ziel-Erkennung

HCP Boundary lässt sich mit vertrauenswürdigen Identitätsplattformen wie „Azure Active Directory“, „Okta“, „Ping“ und vielen anderen, die „OpenID Connect“ unterstützen, integrieren, um vertrauenswürdige Identitäten einzubinden und die Authentifizierung zu delegieren. Betreiber können darüber hinaus eine fein abgestufte Autorisierung für kritische Systeme und Infrastrukturen auf der Grundlage der Identität konfigurieren. Einzelne Benutzer können dies auch für sich selbst tun.

HCP Boundary optimiert dann die Verbindung zu Hosts und Zielen, indem es die Service-Erkennung und die Zugriffskonfiguration bei der Bereitstellung oder Änderung von Workloads automatisiert. Dynamische Host-Kataloge sind laut Chris Kent derzeit bei AWS und Microsoft Azure verfügbar.

Schließlich spiele HCP Boundary mit dem Secrets-Management-Tool „Hashicorp Vault“ zusammen, um Zugangsdaten für kritische Infrastrukturen zu vermitteln, die nur für die jeweilige Sitzung gültig sind.

Zusätzliche Abstraktionsebene

Aus technischer Sicht ist HCP Boundary ein „identitätsbewusster“ Proxy, der sich zwischen die Benutzer und die Infrastruktur setzt, mit der sich diese verbinden möchten. Der Proxy baut also eine zusätzliche Abstraktionsebene auf. Er besteht zum einen aus einer Steuerebene (Control Plane), die den Status von registrierten Benutzern, auswählbaren Zielanwendungen sowie den vorhandenen Zugriffsrichtlinien verwaltet, sowie einer Gruppe externer Anbieter, deren Service-Angebote mit HCP Boundary gefunden werden können.

Zum anderen besteht HCP Boundary aus einem sicheren Gateway-Knoten (worker node), der nach erfolgreicher Authentifizierung eines Nutzers und einer entsprechenden Zielauswahl aufgebaut wird und der dann die gewünschte Arbeitslast abarbeitet.

Dem Benutzer präsentiert HCP Boundary die Sitzung als TCP-Tunnel, der in gegenseitigem TLS verpackt ist, was das Risiko eines Man-in-the-Middle-Angriffs verringert. Wenn sich ein Benutzer über SSH durch einen HCP Boundary-Tunnel mit einem Ziel verbindet, gibt es zwei Verschlüsselungsebenen: die SSH-Sitzung, die der Benutzer erstellt, und das zugrunde liegende TLS, das HCP Boundary erstellt.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Kunden können Boundary-Gateways auch selbst verwalten

Im Regelfall wird HCP Boundary vollständig von Hashicorp verwaltet, aber die Benutzer können auf Wunsch auch die Gateway-Knoten selbst verwalten. Durch Letzteres sind die Kunden-Netzwerke sowohl für die Öffentlichkeit als auch für Hashicorp nicht einsehbar.

(ID:48493862)