🚨The Bastion: недооценённый инструмент SSH-безопасности
Не секрет, что управление SSH-доступом давно стало критически важным элементом безопасности.
The Bastion - специализированный bastion-host уровня enterprise, разработанный в OVH, который обеспечивает централизованную аутентификацию, разрыв SSH-канала, строгую авторизацию и полный аудит операторских действий, минимизируя поверхность атаки в распределённых средах.
🔐 Рассмотрим инструмент подробнее
The Bastion не просто jump-host, это центральная точка входа для админов и операторов, которая даёт:
✨ строгое разграничение прав,
✨ централизованное управление ключами,
✨ полный аудит всех действий,
✨ безопасный разрыв SSH-соединений между пользователем и сервером.
Сервера видят только Bastion, а персональные учётки операторов скрыты.
⚙️ Ключевые фичи
🧩 Точный контроль доступа (RBAC)
- Гибкие группы, роли, делегирование.
- Минимально необходимый доступ для каждого пользователя.
🔄 Полный разрыв SSH
Пользователь → Bastion → сервер.
- Никаких прямых соединений.
- Повышенная защита от компрометации ключей.
🎥 Полная запись сессий
- Интерактивные ttyrec-записи.
- Логирование scp/rsync/stdout/stderr.
- Полезно для SOC, DFIR и compliance.
🔐 MFA и PIV
Поддержка TOTP, физические ключи (YubiKey и др.)
🛰 Поддержка scp/sftp/rsync/netconf
Работает даже с «древним» сетевым оборудованием.
🧱 Минимальные зависимости
Только стандартный SSH-клиент и sshd на серверах.
🏗 High availability
Поддержка кластеров (active/active).
⚔️ Сравнение: The Bastion vs Teleport
Чтобы понять, где The Bastion особенно силён, сравним его с популярным аналогом Teleport.
🔍 Архитектура
The Bastion: классический, надежный SSH bastion с разрывом соединений. Без внешних зависимостей, без агрессивных агентов.
Teleport: построен вокруг собственного auth-сервера и proxy-компонентов, использует сертификаты SSH, требует агентов на серверах.
🔐 Управление доступом
The Bastion: простое RBAC на уровне групп + централизованные ключи.
Teleport: более сложная модель с сертификатами и политиками, но требует дополнительной инфраструктуры.
🧠 Аудит
The Bastion: нативная запись ttyrec, логирование потоков, простые для экспорта артефакты.
Teleport: структурированные ауди-события + web-панель, но завязано на их auth-сервер.
🖥 Установка и поддержка
The Bastion: один узел, SSH, минимум зависимостей → быстрое внедрение даже в ограниченных средах.
Teleport: более тяжёлый стек, особенно для production-кластеров.
💸 Лицензирование
The Bastion: полностью open-source, без enterprise-платных фич.
Teleport: open-source ядро + платные расширенные модули.
🔗 Ссылки
➖Github The Bastion
➖GitHub Teleport
Stay secure and read SecureTechTalks 📚
#SecureTechTalks #cybersecurity #ssh #bastionhost #OVH #infosec #devops #audit #opensource #privilegedaccess
