安全远程访问,无需“门户税”:Boundary 对比其他供应商
Source: HashiCorp Blog
大多数 VPN 和特权访问管理(PAM)工具都带来巨大的负担,因为它们迫使用户——尤其是工程师——改变工作方式。
远程访问的生态系统充斥着专有客户端和基于网页的代理。
如果开发者想要 SSH 进入生产服务器或访问数据库,通常需要:
- 停止当前的实际工作。
- 启动 VPN。
- 登录网页门户。
- 搜索一个 “安全”/目标账户(许多现有的 PAM 供应商都要求这样做)。
- 检出密码,将其复制到剪贴板,并粘贴到客户端 或 在供应商支持的情况下使用凭证注入。
安全性得以维持,但生产力受到牺牲。这种摩擦——在实际工作之前必须切换上下文以使用安全工具——就是我们所说的 “门户税”。它是当前安全工具生态系统中内嵌的隐藏成本,导致用户采用可能泄露凭证的变通办法。
HashiCorp的愿景
最好的安全是无形的——开发者和广大员工在使用时不应感受到它的存在。
我们希望让安全路径变得极其简便、自动化,并在后台运行。这正是我们通过 HashiCorp Boundary——这款现代化的安全远程访问(有时称为 身份感知代理)产品所提供的。
关键差异点:透明会话
- 消除用户记忆特定资源 ID 或临时端口的需求。
- 与 RDP + SSH 凭证注入的无密码功能结合使用时,透明会话 彻底消除门户费用。
在本文中,我们将比较 Boundary 的原生工具工作流与大多数供应商仍在提供的门户优先方法。
Source: …
Boundary 与传统 PAM 供应商 – 技术差异
| Aspect | Typical PAM (Portal‑Centric) | HashiCorp Boundary (Native‑Tool) |
|---|---|---|
| Workflow | Users must go to a portal to get access. | Transparent sessions run passively in the background. |
| User Interaction | Open portal → locate account → check out password → copy/paste. | No portal interaction after initial authentication. |
| Tooling | Proprietary client or web UI for each session. | Uses the native tools you already love (VS Code, PuTTY, Windows RDP, terminal, etc.). |
如何实现透明会话
- 安装 Boundary 客户端代理 – 它充当特定域名的本地 DNS 解析器。
- 当你在终端中输入
ssh production‑web.corp或 在浏览器中打开db‑prod.corp时,客户端代理(静默运行)会执行两项操作:- 拦截对该受保护别名的 DNS 请求。
- 自动将流量通过 Boundary 代理路由。
这些代理提供对网络的访问并将流量路由到目标,瞬间 建立连接,无需你暂停工作流或与单独的门户或工具交互。
无上下文切换。 一旦通过 Boundary 完成身份验证,就不需要在每个新会话中重复“登录门户”或启动专有工具。
真正的无密码 – Vault 协同
连接只是方程式的一半。另一半是我们如何管理“王国的钥匙”——用于对目标资源进行身份验证的凭证。这正是 Boundary 与 HashiCorp Vault 之间协同作用所提供的竞争优势,而单独的访问工具难以复制。
传统工作流(密码签出)
- 用户“签出”密码。
- 将其复制到剪贴板并粘贴到客户端。
- 风险:通过剪贴板历史泄露凭证、钓鱼、重复使用等。
Boundary + Vault 工作流(无密码)
- 透明会话通过 Boundary 客户端代理拦截 DNS 请求。
- Boundary 检查用户身份验证和策略。
- Boundary 向 Vault 请求动态或静态密钥。
- Vault 将密钥返回给 Boundary。
- Boundary 将凭证直接注入协议流。
这与用户 查看 密钥的“密码保险箱”根本不同。在 Boundary 中,用户永远看不到密码。
合规性收益
- 高熵密钥。
- 频繁轮换密钥。
- “单击”登录。
以下是一个展示从开发者视角看流程有多快的剪辑: (根据需要嵌入视频或 GIF)
Why This Beats the “Portal” Approach
许多安全远程访问 / PAM 领域的工具都是围绕 “vault‑first” 思维构建的:你进入网页金库来“签出”访问权限。这感觉就像每次想买咖啡都要去银行柜台。
Boundary 就像刷信用卡——安全检查会进行,但方式是尽可能简单。
示例场景:旧方式 vs. Boundary 方式
旧方式
| 时间 | 操作 |
|---|---|
| 09:00 a.m. | Jane 收到一个调试 Linux 服务器的工单。 |
| 09:05 a.m. | 她登录 VPN。 |
| 09:07 a.m. | 她登录网页门户并搜索/导航到目标账户详情。 |
| 09:10 a.m. | 她选择目标并检索/复制凭证。 |
| 09:15 a.m. | 她打开终端/SSH 客户端,粘贴 IP,粘贴密码。 |
风险: 密码会留在剪贴板历史中;所耗时间增加了生产力开销。
Boundary 方式
| 时间 | 操作 |
|---|---|
| 09:00 a.m. | Jane 收到一个调试 Linux 服务器的工单。 |
| 09:01 a.m. | 她在自己选择的 SSH 工具中输入 ssh alias.target。 |
| — | 结果: 她已登录。Boundary 在后台对会话进行身份验证并注入凭证。零摩擦。零剪贴板风险。更简易的零信任工作流。 |
Bottom Line
其他一些 PAM 提供商确实提供凭证注入,但 Boundary 的透明会话 是完全避免门户税的关键,能够提供无缝、无密码、零信任的远程访问体验。
访问的未来是无形的
企业不再需要在安全性和速度之间做出抉择。借助 Boundary,组织可以让安全路径成为开发者的 最快、最简便 的路线,从而降低 IT 最常见的泄露原因之一:端点凭证被盗。当用户不必与工具搏斗来完成工作时,安全路径的自然采用将成为常态——而且不会让人感觉被强加。
查看 Boundary 实际操作
- 观看 Transparent session “Getting Started” 视频
- 观看 Transparent sessions 演示视频
开始使用
- 创建免费 HCP 账户 并在您的环境中部署 HCP Boundary。
- 在我们的文档中 查看 Transparent sessions 设置详情。
- 查看我们关于 Boundary 的众多教程。
- 下载最新版本的 Boundary 安装程序,亲自试用。
注意:请将下面的占位链接替换为实际的 URL。