JumpServer - Gestión de activos de TI empresariales

Estuvimos evaluando la solución PAM de código libre jumpserver.

¿El problema?

Y bueno, cuando una empresa tiene 50 o 100 personas en el área de TI, y debe gestionar decentas de servidores Linux, Windows, además de accesos a Bases de Datos, Switches, Firewalls, y Aplicaciones Web, la complejidad de administrar los accesos se vuelve un tema relevante.

¿Cómo gestionar las contraseñas? ¿Cómo le entrego la contraseña a un usuario? ¿Y a un proveedor que debo darle acceso a una máquina de producción? ¿Y como audito o controlo lo que hizo el usuario? ¿Y si quiero dar acceso a un usuario a una máquina por sólo 30 minutos ?

Aquí es donde participan una serie de aplicaciones en la industria de los Privileged Access Management (PAM), en que ya existe una serie de aplicaciones empresariales como CyberArk, BeyondTrust, Delinea, Teleport, OKTA, etc. Entre ellas, está JumpServer, que junto a Teleport son las únicas opciones de código libre.

Instalación

Como hemos hecho en otras ocasiones, instalamos Jumpserver en nuestro cluster de Kubernetes utilizando el Helm Chart disponible: (No hicimos ningún cambio al archivo values.yaml, sólo actualizar los valores del dominio en el Ingress)

helm upgrade -i -n patagon jumpserver jumpserver/jumpserver -f values.yaml

Y listo, ya están los Pods corriendo 😃:

Integraciones

Jumpserver se puedo integrar con Active Directory, además de directorios RADIUS y LDAP. Como single sign on (SSO), permite integrarse con SAML, OICD y Auth2 entre otros.

Hicimos una POC, integrándonos con MS Azure (OpenID Connect). Así, todos los usuario quedarán inmediatamente activos.

Recursos (o Assets)

Es posible agregar servidores Windows y Linux (Assets). Para las máquinas Windows, la conexión es via RDP (escritorio remoto), mientras que para las máquinas Linux es a través de un terminal de SSH. Para acceder a una máquina, debemos:

• Agregar el recurso (IP o hostname de la máquina)
• Agregar el usuario (Agregar el username con clave o llave SSH de la máquina).
• Crear el permiso para la persona X, con acceso a la máquina Y, utilizando el username Z.

Linux

Aquí accedemos por SSH a una máquina Linux:

Windows

Para el caso de Windows es similar, pero el acceso es a través del protocolo RDP:

Aplicaciones (MySQL y Kubernetes)

Imaginemos que sólo queremos dar acceso a un usuario a la aplicación (y no a toda la máquina). Esta característica también es factible con JumpServer. Bastará crear el acceso a Mysql (por ejemplo).

Aquí probamos el acceso al cluster de kubernetes:

Auditoría

Finalmente queremos auditar lo que hizo un usuario, y para ello JumpServer lleva un registro o grabación de las sesiones:

Conclusión

Jumpserver parece una buena alternativa para evaluar este tipo de soluciones de manera rápida y simple. En menos de 1 día podrás tener configurado e implementado toda la plataforma.

Aquí un video de 5 minutos con algunas de las cosas que se vieron: