🔐 Teleport Self-hosted là gì?

👉 Khác Teleport Cloud:

• Bạn quản lý Auth, Proxy, Storage, HA

• Toàn bộ dữ liệu audit ở trong hệ thống bạn

• Phù hợp doanh nghiệp yêu cầu kiểm soát & data residency

🧭 Kiến trúc Teleport Self-hosted (chuẩn)

Thành phần chính

Sơ đồ logic (mô tả)

1️⃣ Khi nào nên dùng Teleport Self-hosted?

✔ Yêu cầu:

• Dữ liệu audit không ra ngoài

• Chính sách bảo mật nội bộ nghiêm ngặt

• Muốn tích hợp sâu với hạ tầng hiện có

✔ Quy mô:

• 50 users

• Có team IT/DevOps quản trị

❌ Không phù hợp nếu:

• Team nhỏ

• Không muốn vận hành hệ thống mới

2️⃣ Mô hình triển khai phổ biến

🟢 Nhỏ – Trung bình (≤50 users)

• 1 Teleport server:

  • Auth + Proxy + Node

• Backend: local / SQLite

• Không HA

👉 Lab / PoC / nội bộ nhỏ

🔵 Doanh nghiệp (khuyến nghị)

Trên AWS (ví dụ)

• 2–3 Proxy (ALB phía trước)

• 3 Auth nodes (HA)

• Backend:

  • DynamoDB (state)

  • S3 (session recording)

• Server nội bộ kết nối qua reverse tunnel

3️⃣ Cài đặt Teleport Server (ví dụ Linux)

Tạo config:

Start Teleport:

4️⃣ Kết nối server vào Teleport

Trên server cần truy cập:

👉 Server tự tạo reverse tunnel → không cần mở inbound

5️⃣ Tích hợp SSO + MFA (Enterprise)

Teleport Self-hosted hỗ trợ:

• Azure AD / Google / Okta

• SAML / OIDC

• MFA (TOTP, WebAuthn, YubiKey)

📌 Mapping:

6️⃣ Phân quyền (RBAC) – điểm mạnh nhất

Ví dụ role chỉ được vào DEV

Vendor access 7 ngày

7️⃣ Audit & Compliance

Teleport Self-hosted ghi:

• SSH command

• Full session video

• Kubernetes audit

• DB access

Bạn lưu ở:

• S3 / MinIO

• NFS

• On-prem object storage

👉 Phù hợp:

• ISO 27001

• SOC 2

• PCI-DSS

8️⃣ So sánh nhanh: Self-hosted vs Cloud

🎯 Best Practice (rất nên làm)

✅ Proxy đặt sau LB
✅ Auth ≥ 3 nodes (HA)
✅ Audit lưu Object Storage
✅ Bật MFA cho PROD
✅ Không dùng SSH key truyền thống
✅ Không dùng VPN cho admin access