Teleport est une plateforme qui permet d'accder de manire simple et scurise votre infrastructure IT. Elle permet entre autres de grer les accs serveurs (Server Access), bases de donnes (Database Access), applications (Application Access), bureau (Desktop Access) et Kubernetes (Kubernetes Access). Teleport est open source et disponible en version Community et Entreprise.Teleport 10 est disponible. Il s'agit pour l'entreprise Teleport, la plus grande version ce jour dans l'histoire de la plateforme en termes d'ensembles de fonctionnalits. Nous prsentons ici les nouveauts majeures de cette version.
Authentification sans mot de passe
La fonctionnalit phare de Teleport 10 est incontestablement la solution d'authentification sans mot de passe. L'authentification sans mot de passe remplace les noms d'utilisateur et les mots de passe par une mthode d'authentification plus scurise soutenue par la biomtrie, supprimant entirement la cause la plus courante de violation de donnes de l'quation : vols de paramtres de connexion.
Teleport prconise depuis longtemps la suppression des mots de passe et autres secrets de l'infrastructure. Par exemple, avant Teleport 10, Teleport a remplac les cls SSH, les informations d'identification d'administrateur et d'autres secrets partags par une connexion authentification unique (SSO) protge par un deuxime facteur. Et aprs l'authentification initiale, les utilisateurs avaient recours des certificats de courte dure mis par Teleport comme mthode sans mot de passe pour accder aux ressources de l'infrastructure. Mais en ralit, les utilisateurs devaient encore s'authentifier auprs du systme SSO (comme Okta) l'aide d'informations d'identification bases sur un mot de passe. Cela change avec l'authentification sans mot de passe de Teleport.
L'authentification sans mot de passe de Teleport offre une solution sans mot de passe de bout en bout pour l'accs l'infrastructure. La solution est base sur FIDO2 WebAuthn, ce qui signifie une compatibilit entre tous les navigateurs Web et appareils d'authentification pris en charge tels que Apple Touch ID, Yubikey, Windows Hello, etc. L'authentification sans mot de passe est disponible dans les ditions Teleport Community et Teleport Enterprise.
Contrle d'accs amlior
Demandes d'accs aux ressources
Les demandes d'accs la vole (Just-in-time Access Requests) de Teleport permettent tout dveloppeur de demander l'accs une ressource ou un rle en fonction de ses besoins. La demande peut ensuite tre approuve ou refuse en fonction d'un nombre configurable d'approbateurs.
Les demandes d'accs aux ressources permettent aux ingnieurs de crer un inventaire des ressources auxquelles ils doivent accder. Cette fonctionnalit permet aux quipes de mettre en uvre le principe du moindre privilge en ne donnant accs qu'aux ressources dont l'ingnieur a besoin. Cette fonctionnalit s'appuie sur des demandes d'accs bases sur les rles. Mais pour de nombreux cas d'utilisation, comme la mise en uvre de privilges non permanents, les demandes d'accs bases sur les rles ne fournissent pas suffisamment de granularit. Avec les demandes d'accs la vole aux ressources, un ingnieur peut demander l'accs une ou plusieurs ressources individuelles dont il a besoin quand il en a besoin.
Restrictions bases sur IP dans les certificats
Teleport permet d'accder aux ressources l'aide de certificats de courte dure. Les certificats de courte dure sont soutenus par l'identit ; pour les renouvellements de certificat, un utilisateur doit se r-authentifier. Pendant la courte fentre d'accs, il est possible que le certificat soit vol. Certains clients de Teleport ont donc demand une protection supplmentaire contre d'ventuels certificats vols.
Teleport Enterprise offre une couche de protection supplmentaire votre infrastructure avec des restrictions bases sur IP. En plus des contrles d'accs bass sur les rles, Teleport peut lier des certificats SSH de courte dure une IP cliente et valider l'IP sur chaque connexion pour empcher les attaques pivot.
Provisionnement automatique des utilisateurs Linux
Lorsque les utilisateurs accdent aux serveurs Linux via SSH, ils accdent au compte d'utilisateur Linux local. Les actions et autorisations de chaque utilisateur avant et aprs l'authentification et l'autorisation sont attaches au compte Linux local. Mais les comptes d'utilisateurs locaux de longue dure peuvent prsenter un risque pour la scurit.
Avec la fonction de provisionnement automatique des utilisateurs Linux de Teleport, le nud SSH Teleport crera automatiquement un compte utilisateur Linux local pendant la dure de l'accs, puis le dprovisionnera une fois l'accs termin, supprimant ainsi tous les risques associs aux comptes rsiduels privilgis de longue dure. Les utilisateurs peuvent tre ajouts des groupes Linux spcifiques et se voir attribuer les privilges "sudoer" appropris.
Amliorations pour Teleport Database Access
Prise en charge de bases de donnes supplmentaires
Teleport 10 vient avec la prise en charge des nouvelles bases de donnes suivantes : Snowflake, Elasticache pour Redis, Memory DB, Elasticsearch, Cassandra.
Audit d'accs pour Microsoft SQL Server
Teleport prend en charge Microsoft SQL Server depuis la version Teleport 9. Avec Teleport 10, l'entreprise a ajout une fonctionnalit d'audit au niveau du protocole, qui sera utile pour les audits d'accs Microsoft SQL Server.
Amliorations pour Teleport Desktop Access
Partage de rpertoire d'accs desktop
Teleport Desktop Access permet un accs scuris bas sur un certificat aux htes Windows distants partir d'un navigateur. Grce la prise en charge du partage de rpertoires, les utilisateurs de Desktop Access peuvent dsormais partager des fichiers sur des htes Windows. Les fichiers du client local sont instantanment disponibles sur l'hte Windows distant et vice versa. Pas de chargement ou de tlchargement manuel. Le tout via le navigateur.
Configuration simplifie d'Active Directory
La configuration dans l'cosystme Windows est principalement base sur l'interface graphique. Les registres Powershell et Windows et les objets de stratgie de groupe (GPO) Active Directory (AD) peuvent tre utiliss pour l'automatisation, mais il est toujours difficile de mettre en uvre la configuration automatique au niveau commun sur Linux. Teleport Desktop Access prend en charge l'authentification base sur les certificats, et pour configurer cette mthode d'authentification, les configurations de l'objet de stratgie de groupe et du certificat du serveur doivent tre mises jour. Auparavant, il s'agissait d'une tche manuelle qui ncessitait la mise jour de plusieurs configurations, ce qui prend du temps pour les personnes qui souhaitent essayer Teleport Desktop Access. Dans la nouvelle version, il est maintenant plus simple pour les administrateurs de configurer Teleport Desktop Access.
Amliorations pour Teleport Application Access
Contrlez l'accs n'importe quelle application avec le proxy compatible TCP de Teleport
Actuellement, Teleport prend en charge le contrle d'accs aux applications bas sur les connexions HTTP, HTTPS et WebSocket. Mais dans un environnement industriel de technologie oprationnelle (OT), des protocoles tels que MQTT, Modbus, etc., sont populaires et largement utiliss. Teleport prendra dsormais en charge le contrle d'accs aux applications vers des points de terminaison TCP arbitraires. L'entreprise a mis en place un proxy TCP qui permet dsormais aux utilisateurs de protger tout type d'application tant qu'elles adhrent au protocole TCP/IP.
Autres nouveauts et amliorations
Il y a encore bien d'autres nouveauts et amliorations. On peut citer encore une concernant Machine ID pour Kubernetes et Application Access.
Teleport Machine ID a t lanc pour permettre aux dveloppeurs de scuriser facilement les communications de machine machine bases sur les certificats X.509 et SSH. La premire prversion de Machine ID ne prenait en charge Teleport Server Access et, entre autres, permettait aux dveloppeurs d'utiliser des certificats de courte dure avec Ansible. Teleport 9.3.0 a ajout le support de Database Access Machine ID. Enfin, dans Teleport 10, on note la prise en charge de Kubernetes Access et Application Access. Dsormais, vous pouvez contrler le niveau d'autorisation dont dispose un compte de service pour accder aux clusters Kubernetes ou une application Web, aussi facilement que vous pouvez contrler l'accs un serveur Linux ou une base de donnes.
Vous trouverez plus d'informations sur les nouveauts de Teleport sur le site officiel de la plateforme.
