Чудеса Teleport-ации. Личная история нюансов эксплуатации Open-Source PAM

Несмотря на колоссальное количество сложных уязвимостей, которое есть сейчас, статистика показывает, что компрометация инфраструктуры происходит методами куда более тривиальными - забытые SSH ключи, закомиченные в Git или оставленные лежать на машинах, слитые и слабые пароли или неотозванный ключ давно уволенного сотрудника. А еще хочется иметь аудит действий пользователей в терминале, единый инструмент для получения доступа в БД, Kubernetes и SSH, гибкую ролевую модель для предоставления и отзыва пользователей и ее прозрачность для аудита. А еще, чтобы решение было Open Source. И такое решение есть! Имя ему - Teleport!

На конференциях Оптико уже были доклады от моих коллег, посвященные Teleport с точки зрения пользы для процессов ИБ, его гибкости и встраиваемости в существующие процессы. Однако с тех пор прошло почти 3 года. Настало время посмотреть, как повела себя система за годы ее эксплуатации, как пережила бурный рост, с какими проблемами мы столкнулись и как их решали. А еще - как внедрили Teleport уже в другой компании и что изменили. Этот доклад - история проб и ошибок, а также о поиске правильных (или не очень правильных) решений при внедрении с одной стороны очень полезного, и с другой - крайне компромиссного Open-Source решения