software

认识 Orion-Belt,Go ZeroTrust Bastion

发布: (2026年1月2日 GMT+8 04:46)
6 分钟阅读
原文: Dev.to

Source: Dev.to

Meet Orion‑Belt,Go ZeroTrust Bastion 的封面图片

Mohamed Zrouga

概述

在基础设施领域,我们长期接受了一个 “security tax.”
如果你想让服务器可访问,你只能:

  • 在防火墙上打开洞口,
  • 维护一个复杂的 VPN,或
  • 为企业级 PAM(Privileged Access Management)工具支付数千美元。

我觉得在轻量级、面向开发者的工具方面存在巨大的空白,这类工具遵循 Zero Trust 原则,却没有企业级的臃肿。因此我创建了 Orion‑Belt

Orion‑Belt 实战

眼见为实。下面快速展示 osh(Orion‑Belt SSH 客户端)连接到一个 没有任何入站端口开放 的机器,而网关负责身份验证和记录。

Orion‑Belt 实战

传统访问的“安全税”

大多数团队以三种方式处理远程服务器访问,而它们都有一个缺点

方法缺点
Static SSH Keys在笔记本被盗或员工离职之前都很好。审计“谁做了什么”几乎不可能。
Jump Box (Bastion)单点故障——如果被攻破,整个网络都会暴露。
VPNs提供“平面”网络访问;一旦用户连接到 VPN,他们往往可以看到所有内容,违反了最小特权原则

我想要一种感觉像现代 SaaS(例如 Teleport 或 Boundary),但仍然是自托管、开源且极其简单的方案。

功能比较:为什么选择 Orion‑Belt?

功能Orion‑Belt(开源)传统 SSH / VPN企业网关
入站防火墙规则❌ 否(反向隧道)✅ 是(端口 22 / VPN)❌ 否(代理 / 隧道)
会话录制✅ 是(内置)❌ 否(难以配置)✅ 是(内置)
访问控制ReBAC(细粒度)粗粒度RBAC / ABAC
临时访问✅ 是(即时批准)❌ 否✅ 是
协议支持SSH, SCPSSH, SCP(VPN 支持更多)SSH, Kubernetes, Databases, HTTP
成本免费(自托管)免费$$$ 高
架构轻量级 Go 二进制标准工具复杂的微服务

工作原理(内部实现)

Orion‑Belt 使用 Reverse SSH Tunnel 架构。与其让你 进入 私有网络,不如让你的服务器 主动 连接到 Orion‑Belt 网关。

  • Agent – 在目标虚拟机上运行的一个小型 Go 二进制文件,负责向 Orion‑Belt 服务器发起出站连接。
  • Gateway – “大脑”。它处理身份验证、基于属性的访问控制(ReBAC)以及会话记录。
  • Client (osh / ocp) – 命令行工具,使用方式类似标准的 SSH/SCP,但会先通过网关的 API 验证权限。

由于连接是从服务器向网关的出站连接,Port 22 可以保持关闭,从而有效地让你的基础设施对自动化机器人扫描和 0‑day SSH 漏洞隐藏。

现代团队的关键特性

ReBAC(基于关系的访问控制)

Orion‑Belt 检查用户与资源之间的 关系,实现细粒度权限,随着团队规模的扩大而平滑扩展。

会话 DVR‑风格回放

合规制度(SOC 2、HIPAA 等)通常要求完整的审计日志。Orion‑Belt 在网关层记录每一次按键,便于事后回放整个会话。

JIT(即时)临时访问

osh --request-access prod-db-01 --duration 1h --reason "Investigating latency"

管理员收到通知后批准请求,访问会在指定时间后自动失效。不会留下“孤立”的密钥。

架构图

Client (osh/ocp)


Orion‑Belt Gateway Server (ReBAC + Session Recording)

      ▼   (Reverse SSH Tunnel)
Agent (on your locked‑down servers)

快速入门

1. 从源码构建

git clone https://github.com/zrougamed/orion-belt.git
cd orion-belt && make build

2. 启动服务器

服务器充当您的中心枢纽,并使用 PostgreSQL 来存储会话和权限。

3. 部署代理

将代理二进制文件放置在防火墙后面的任意服务器上。连接到网关后,该服务器即可通过 osh 访问。

我需要你的反馈!

Orion‑Belt 目前处于 Alpha 阶段——功能完整且稳定,但正在寻找早期采用者来共同制定路线图。

  • 这种架构是否适合你当前的工作流程?
  • 你希望看到哪些通知插件(Slack、Discord、Email)?

查看仓库,如果你喜欢这个概念,请点一个 ⭐,并在评论中讨论!

GitHub:
GitHub – Orion‑Belt

最终思考

基础设施访问不必在“简易”和“安全”之间做出选择。通过将 Go 的性能与零信任架构相结合,Orion‑Belt 让高端安全对所有人都可用。

Back to Blog

相关文章

阅读更多 »

RGB LED 支线任务 💡

markdown !Jennifer Davishttps://media2.dev.to/dynamic/image/width=50,height=50,fit=cover,gravity=auto,format=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%...

Mendex:我为何构建

介绍 大家好。今天我想分享一下我是谁、我在构建什么以及为什么。 早期职业生涯与倦怠 我在 17 年前开始我的 developer 生涯……