vi
new
0
Avatar
Nguyễn Huy Hoàng @hhoang
7.4K 112 531
Đã đăng vào khoảng 2 giờ trước 7 phút đọc
8

Series Zero Trust Hạ Tầng Bài 1 Tổng Quan Về Teleport - Tạm Biệt VPNvà SSH Key Truyền Thống

Chào các bạn, là một Developer hay DevOps, chắc hẳn công việc hàng ngày của bạn không thể thiếu việc kết nối vào các máy chủ từ xa (SSH), truy cập Database Production, hay tương tác với cụm Kubernetes.

Thông thường, để làm được việc này một cách "bảo mật", công ty sẽ cấp cho bạn một tài khoản VPN, kèm theo một file private key (.pem, .id_rsa) để bạn cấu hình vào máy. Nhưng hãy thành thật với nhau:

  • Đã bao giờ bạn vô tình commit nhầm file Private Key lên GitHub công khai?
  • Khi một nhân sự nghỉ việc, team hạ tầng phải mất bao nhiêu công sức để đổi password database, thu hồi SSH key trên hàng trăm server?
  • Làm sao bạn biết được ai đã chạy lệnh rm -rf phá hoại trên server lúc 2 giờ sáng khi mọi người đều dùng chung một tài khoản root hoặc ubuntu?

Đó là lý do Teleport ra đời để đập tan những nỗi đau đó. Trong series này, mình sẽ cùng các bạn từ số 0 xây dựng một hệ thống quản lý truy cập hợp nhất, bảo mật theo triết lý Zero Trust bằng Teleport.

1. Teleport là gì? Tại sao nó là tương lai của Quản lý Hạ tầng?

Teleport là một nền tảng mã nguồn mở quản lý danh tính và quyền truy cập (Identity-aware Access Management). Thay vì bảo vệ vòng ngoài của bức từng lửa (VPN), Teleport đứng ở giữa, xác minh danh tính bạn là ai trước khi co phép bạn chạm tới bất kỳ tài nguyên nào

Điểm "chìa khóa" làm nên sự bá đạo của Teleport là: Nói không với Secret tĩnh (No static credentials).

  • Không còn SSH Key lưu trên máy local.
    • Không còn mật khẩu database nằm trong file config của Dev.
    • Mọi truy cập đều dựa trên Chứng chỉ ngắn hạn (Short-lived Certificates). Khi bạn login qua SSO (GitHub, Google, Okta), Teleport cấp cho bạn một certificate chỉ có hiệu lực trong vòng vài giờ (ví dụ: 8 tiếng làm việc). Hết giờ, certificate tự hủy, bạn có mất máy tính thì hacker cũng không làm gì được.

2. Teleport có thể quản lý những gì?

Đừng nghĩ Teleport chỉ thay thế SSH. Nó là một hệ sinh thái quản lý "vạn vật" trong hạ tầng của bạn:

  • Teleport SSH: Quản lý truy cập vào các server Linux/Windows mà không cần SSH key.
  • Teleport Database: Cung cấp kết nối an toàn đến PostgreSQL, MySQL, MongoDB, Redis... tích hợp thẳng với các tool như DBeaver, DataGrip.
  • Teleport Application: Giúp bạn public các web app nội bộ (như Jenkins, Grafana, Dashboard) ra ngoài Internet một cách an toàn mà không cần VPN, chỉ ai login đúng tài khoản công ty mới vào được.
  • Teleport Kubernetes: Kiểm soát toàn bộ lệnh kubectl tác động vào cụm cluster.
  • Teleport cho AI (Model Context Protocol - MCP): Tính năng mới nhất hỗ trợ quản lý và kiểm soát quyền truy cập của các trợ lý AI vào dữ liệu hệ thống thông qua giao thức MCP, đảm bảo AI không "vượt quyền".

3. Kiến trúc cốt lõi của Teleport (Cực kỳ đơn giản)

Một hệ thống Teleport cơ bản chỉ gồm 3 thành phần chính, rất nhẹ nhàng và không làm chậm hệ thống của bạn:

  1. Teleport Auth Service (Bộ não): Nơi xử lý xác thực, kiểm tra quyền hạn (RBAC), cấp phát chứng chỉ ngắn hạn và lưu trữ nhật ký hệ thống (Audit logs).
  2. Teleport Proxy Service (Cánh cổng): Là thành phần duy nhất được public ra ngoài Internet. Mọi traffic từ client (như máy tính của bạn) đều phải đi qua Proxy này để kiểm tra pass/fail trước khi đi sâu vào mạng nội bộ.
  3. Teleport Agent (Người gác đền): Là một tiến trình nhỏ chạy ngầm trên các Server, Database hoặc K8s của bạn để nhận lệnh và thực thi từ Proxy/Auth gửi về.

4. Ba tính năng "đáng tiền" khiến các nhà quản lý mê mẩn

Nếu những lý do trên chưa đủ thuyết phục bạn, thì đây là 3 tính năng sẽ khiến bạn muốn cài ngay Teleport:

  • Session Recording (Quay phim màn hình terminal): Khi bạn SSH vào server qua Teleport và gõ lệnh, Teleport không chỉ lưu text log, nó "quay video" lại toàn bộ quá trình bạn gõ. Sếp có thể vào xem lại như một cuốn phim để biết chính xác bạn đã làm gì.
  • Access Requests (Xin quyền Real-time): Bạn là Dev và bình thường không có quyền vào Database Production. Hôm nay có sự cố cần vào check, bạn có thể gửi một lệnh "Xin quyền vào DB Prod trong 1 tiếng". Quản lý sẽ nhận được thông báo trên Slack/Telegram, bấm "Approve", bạn lập tức có quyền. Hết 1 tiếng, quyền tự động bị thu hồi.
  • Unified Audit Log: Mọi hành vi login, logout, chạy lệnh, download file đều được ghi lại tập trung tại một nơi, sẵn sàng cho các đợt kiểm toán bảo mật (Security Audit).

Tạm kết Bài 1

Hi vọng bài viết này đã cho bạn một cái nhìn tổng quan và thấy được tầm quan trọng của Teleport trong việc bảo mật hạ tầng hiện đại. Đã đến lúc chúng ta bỏ lại tư duy cài VPN và share file .pem cho nhau rồi!

Ở Bài 2, chúng ta sẽ bắt tay vào phần thực hành thú vị nhất: Hướng dẫn cài đặt Teleport Cluster trên một Server Ubuntu, cấu hình SSL miễn phí với Let's Encrypt và thực hiện cú SSH "Zero Trust" đầu tiên.

Nếu bạn hứng thú với series này, hãy nhấn Follow và Upvote để tiếp thêm động lực cho mình ra bài tiếp theo nhé!

Câu hỏi thảo luận: Hệ thống ở công ty bạn hiện tại đang dùng giải pháp nào để Dev truy cập vào Server/Database? Các bạn có đang gặp rắc rối gì với nó không? Hãy comment chia sẻ bên dưới nhé!

AISecurity DevOps infrastructure zero trust

All rights reserved

Mục lục


Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí