Posté par cg .
Évalué à 5.
Dernière modification le 06 novembre 2022 à 12:24.
Si j'ai bien compris, ce n'est pas le même modèle, pour des usages différents.
Boundary a l'air d'être un gestionnaire d'accès qui va piocher dans diverses sources pour décider de donner l'accès ou non, sans se mettre en coupure niveau réseau.
The Bastion est un bastion traditionnel, c'est à dire une passerelle intermédiaire par laquelle on doit passer pour aller dans un réseau (ou des machines) spécifique.
Boundary est sans doute plus adapté pour les systèmes qui consomment des ressources accessibles depuis Internet (une API), qui ne répondent pas toujours à une segmentation réseau qu'on maîtrise.
The Bastion est prévu comme un intermédiaire pour aller d'un réseau "utilisateur" à un réseau d'administration ou de production.
The Bastion est un bastion traditionnel, c'est à dire une passerelle intermédiaire par laquelle on doit passer pour aller dans un réseau (ou des machines) spécifique.
Voici comment se présentent les outils respectifs :
Boundary
Boundary provides access to applications and critical systems with fine-grained authorizations without managing credentials or exposing your network.
How Boundary works
Boundary is a secure remote access solution that provides an easy way to allow access to applications and critical systems with fine-grained authorizations based on trusted identities across clouds, local data centers, low-trust networks.
The Bastion
Welcome to The Bastion documentation!
Wait, what's a bastion exactly? (in 140-ish characters)
A so-called bastion is a machine used as a single entry point by operational teams (such as sysadmins, developers, devops, database admins, etc.) to securely connect to other machines of an infrastructure, usually using ssh.
The bastion provides mechanisms for authentication, authorization, traceability and auditability for the whole infrastructure.
En lisant les intros des deux logiciels, d'un côté j'ai une description claire de ce que ça fait et du public visé, et de l'autre une pile de formules génériques qui collent à des dizaines d'usages. Bon ça ne fait pas de Boundary un mauvais truc (je ne connais pas), mais je trouve dommage cette tendance à ne pas présenter les libs ou les outils d'un point de vue pratique.
Pour moi la différence entre boundary et un bastion "traditionnel" c'est :
la délégation d'authentification et d’autorisation possible via OIDC et le contrôle d'accès à la cible. En effet une fois sur ton bastion tu as accès (d'un point de vue réseau) à toutes les ressources qui lui sont accessibles, ce qui n'est pas le cas pour boundary.
Je décrirais plutôt boundary comme un VPN point à point (machine cliente à ressources).
# Boundary
Posté par claudex . Évalué à 4.
Ça se compare comment par rapport à Boundary ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Boundary
Posté par cg . Évalué à 5. Dernière modification le 06 novembre 2022 à 12:24.
Si j'ai bien compris, ce n'est pas le même modèle, pour des usages différents.
Boundary a l'air d'être un gestionnaire d'accès qui va piocher dans diverses sources pour décider de donner l'accès ou non, sans se mettre en coupure niveau réseau.
The Bastion est un bastion traditionnel, c'est à dire une passerelle intermédiaire par laquelle on doit passer pour aller dans un réseau (ou des machines) spécifique.
Boundary est sans doute plus adapté pour les systèmes qui consomment des ressources accessibles depuis Internet (une API), qui ne répondent pas toujours à une segmentation réseau qu'on maîtrise.
The Bastion est prévu comme un intermédiaire pour aller d'un réseau "utilisateur" à un réseau d'administration ou de production.
[^] # Re: Boundary
Posté par claudex . Évalué à 6.
C'est bien aussi le cas de Boundary, il faut se connecter à l'instance qui va après se connecter à la cible. https://developer.hashicorp.com/boundary/docs/getting-started/connect-to-target#connect-using-the-cli
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Boundary
Posté par cg . Évalué à 5.
Ah oui, alors je n'ai rien dit :).
Mais je vais faire une digression, désolé !
Voici comment se présentent les outils respectifs :
Boundary
Boundary provides access to applications and critical systems with fine-grained authorizations without managing credentials or exposing your network.
How Boundary works
Boundary is a secure remote access solution that provides an easy way to allow access to applications and critical systems with fine-grained authorizations based on trusted identities across clouds, local data centers, low-trust networks.
The Bastion
Welcome to The Bastion documentation!
Wait, what's a bastion exactly? (in 140-ish characters)
A so-called bastion is a machine used as a single entry point by operational teams (such as sysadmins, developers, devops, database admins, etc.) to securely connect to other machines of an infrastructure, usually using ssh.
The bastion provides mechanisms for authentication, authorization, traceability and auditability for the whole infrastructure.
En lisant les intros des deux logiciels, d'un côté j'ai une description claire de ce que ça fait et du public visé, et de l'autre une pile de formules génériques qui collent à des dizaines d'usages. Bon ça ne fait pas de Boundary un mauvais truc (je ne connais pas), mais je trouve dommage cette tendance à ne pas présenter les libs ou les outils d'un point de vue pratique.
[^] # Re: Boundary
Posté par Mathieu CLAUDEL (site web personnel) . Évalué à 2.
Pour moi la différence entre boundary et un bastion "traditionnel" c'est :
la délégation d'authentification et d’autorisation possible via OIDC et le contrôle d'accès à la cible. En effet une fois sur ton bastion tu as accès (d'un point de vue réseau) à toutes les ressources qui lui sont accessibles, ce qui n'est pas le cas pour boundary.
Je décrirais plutôt boundary comme un VPN point à point (machine cliente à ressources).
Ais-je une mauvaise vision des choses ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.